Doctor Web: panoramica sull'attività di virus per dispositivi mobili per l'anno 2025

15 gennaio 2026

In primo piano

Nel 2025 gli utenti di dispositivi Android il più spesso riscontravano i trojan pubblicitari, nonché i programmi falsificazione utilizzati per scopi fraudolenti.

I software indesiderati più diffusi, come anche l'anno precedente, sono state le applicazioni che suggeriscono in forma di gioco di completare determinati compiti e ricevere per questo premi virtuali. Promettono la possibilità di convertire la ricompensa in denaro reale, ma in realtà nei programmi tale possibilità non è prevista.

Tra i software potenzialmente pericolosi, la maggiore attività si osservava da parte delle applicazioni modificate tramite l'utility NP Manager. Essa offusca e protegge dall'analisi e dal rilevamento il codice dei programmi che vengono modificati, nonché consente di aggirare il controllo della firma digitale dopo la loro modifica. I programmi pubblicitari più frequentemente rilevati sono state le mod non ufficiali del programma di messaggistica WhatsApp che aprono automaticamente link pubblicitari durante l'uso dell'app.

L'anno passato sono stati registrati nuovi casi di incorporazione di programmi malevoli nel firmware di vari modelli di dispostivi Android. Abbiamo riferito uno di tali casi in primavera 2025. I cybercriminali hanno potuto preinstallare un trojan, Android.Clipper.31, su alcuni modelli di smartphone economici, e con il suo ausilio rubare la criptovaluta delle vittime.

Inoltre, in primavera i nostri specialisti hanno rilevato un programma trojan, Android.Spy.1292.origin, che gli attori di minacce avevano integrato in una delle versioni modificate del software cartografico Alpine Quest. L'applicazione malevola era mirata ai militari russi e veniva utilizzata per il cyberspionaggio.

Alla fine di estate il laboratorio antivirus Doctor Web ha informato di un backdoor, Android.Backdoor.916.origin, che veniva distribuito tramite i popolari programmi di messaggistica istantanea. I malintenzionati lo utilizzavano per spiare dipendenti di aziende russe e raccogliere le loro informazioni confidenziali.

In autunno abbiamo parlato di un pericoloso backdoor, Android.Backdoor.Baohuo.1.origin, incorporato dai criminali informatici in mod del programma di messaggistica Telegram X Questo programma malevolo permetteva di violare gli account Telegram delle vittime e gestire l'applicazione di messaggistica stessa a nome degli utenti.

Negli ultimi 12 mesi, il laboratorio antivirus Doctor Web ha rilevato sullo store di app Google Play più di 180 minacce, che in totale sono state scaricate oltre 2.165.000 volte. Includevano varianti diverse dei trojan che abbonano utenti a servizi a pagamento, i programmi falsificazione adoperati per scopi fraudolenti, nonché nuovi software pubblicitari e indesiderati.

Nel 2025 gli autori di virus hanno continuato a utilizzare varie tecniche volte a complicare l'analisi dei programmi malevoli Android e aggirare il loro rilevamento da parte degli antivirus. Uno dei popolari metodi era la conversione di codice DEX in codice C. Inoltre, i nostri analisti dei virus hanno osservato che nella creazione di software malevoli i malintenzionati utilizzano gli assistenti AI, che aiutano a scrivere codice.

Eventi più interessanti del 2025

Ad aprile dell'anno passato gli esperti Doctor Web hanno individuato una campagna per il furto di criptovalute ai proprietari di dispositivi Android. I malintenzionati hanno ottenuto l'accesso alla catena di fornitura di una serie di produttori cinesi e hanno incorporato nel firmware di alcuni modelli di smartphone economici un programma trojan, Android.Clipper.31. Gli attori di minacce l'hanno integrato in una versione modificata dell'app di messaggistica istantanea WhatsApp. Per la modifica è stato utilizzato lo strumento LSPatch, che permette di cambiare la logica di funzionamento di applicazioni senza modificare il loro codice.

Android.Clipper.31 intercetta i messaggi inviati e ricevuti nell'app di messaggistica, cerca in essi gli indirizzi di portafogli delle criptovalute Tron ed Ethereum, e li sostituisce con gli indirizzi appartenenti agli attaccanti. Allo stesso tempo, il trojan occulta la sostituzione furtiva, e in tali messaggi alle vittime vengono visualizzati i portafogli corretti. Android.Clipper.31 inoltre invia ai malintenzionati tutte le immagini in formato jpg, png e jpeg per la ricerca in esse delle frasi mnemoniche salvate che consentono di ottenere l'accesso ai portafogli crypto. I cybercriminali hanno incorporato Android.Clipper.31 anche in decine di altri programmi, tra cui erano popolari applicazioni di portafoglio crypto, scanner di codici QR e altre app di messaggistica, incluso Telegram. Queste varianti venivano distribuite attraverso siti malevoli.

Nel 2025 venivano registrati anche altri casi di infiltrazione di malware nell'area di sistema di dispostivi Android. Ad esempio, un altro gruppo di malintenzionati è riuscito a integrare nuove versioni dei pericolosi trojan Android.Triada nel firmware di una serie di smartphone economici. I malware Triada sono pericolosi per la loro capacità di infettare il processo di sistema Zygote. Quest'ultimo partecipa direttamente all'avvio di tutte le applicazioni nel sistema, pertanto, anche i trojan Triada successivamente possono integrarsi in qualsiasi app sul dispositivo, in effetti ottenendone il completo controllo. I malintenzionati utilizzano questi trojan per scaricare e installare altri programmi malevoli, nonché applicazioni indesiderate e pubblicitarie. Oltre a ciò, tramite di essi, loro possono spiare le vittime, abbonarle a servizi a pagamento ecc. Sono stati rilevati anche nuovi casi di infezione dei firmware di TV box su base Android da nuove versioni del trojan Android.Vo1d, che la nostra azienda ha scoperto nel 2024. Vo1d rappresenta un backdoor che colloca i propri componenti nell'area di sistema dei dispositivi infetti e su comando degli attaccanti è in grado di scaricare e installare di nascosto software di terze parti.

Inoltre, ad aprile il nostro laboratorio antivirus ha registrato una campagna per la distribuzione di un trojan spia, Android.Spy.1292.origin, mirato ai militari russi. I malintenzionati hanno integrato il malware in una delle versioni del software cartografico Alpine Quest e distribuivano la mod tramite un canale Telegram da loro creato, spacciato per quello ufficiale, nonché tramite uno degli store di app Android russi.

Canale Telegram attraverso cui i malintenzionati distribuivano la mod di Alpine Quest malevola contenente Android.Spy.1292.origin

Android.Spy.1292.origin trasmetteva ai cybercriminali dati sugli account e sul numero di cellulare, i contatti dalla rubrica, la geolocalizzazione del dispositivo infetto ed informazioni sui file in esso memorizzati. Il trojan era in grado di rubare determinati file su comando degli attaccanti. A loro interessavano documenti riservati che gli utenti inviavano tramite popolari servizi di messaggistica, nonché il file di log delle localizzazioni dell'app Alpine Quest.

Ad agosto abbiamo riferito casi di distribuzione di un backdoor, Android.Backdoor.916.origin tramite messaggi privati nelle popolari app di messaggistica. Gli attaccanti suggerivano alle potenziali vittime di installare un "antivirus" dal file APK allegato ai messaggi, in cui in realtà era nascosto il programma malevolo. Il nostro laboratorio antivirus ha scoperto le prime versioni di Android.Backdoor.916.origin a gennaio 2025 e da quel momento seguiva la sua attività, il che ha permesso di individuare prontamente questa campagna.

Android.Backdoor.916.origin trae in inganno gli utenti imitando il funzionamento di un antivirus

Dopo l'installazione sul dispositivo Android, Android.Backdoor.916.origin consente di rubare informazioni confidenziali e spiare l'utente. Ad esempio, tramite il backdoor i malintenzionati possono ascoltare conversazioni, trasmettere la trasmissione dalla videocamera, tracciare la posizione e rubare il contenuto dalle app di messaggistica e dal browser. Oltre a questo, Android.Backdoor.916.origin realizza la funzionalità di keylogger per l'intercettazione dei testi digitati, incluse password. Secondo le valutazioni dei nostri specialisti, il backdoor viene impiegato in attacchi mirati e non è destinato alla distribuzione di massa. L'obiettivo principale per i cybercriminali sono i dipendenti di aziende russe.

Ad ottobre Doctor Web ha pubblicato informazioni sul backdoor multifunzionale Android.Backdoor.Baohuo.1.origin, che i nostri analisti dei virus hanno scoperto in versioni modificate del programma di messaggistica Telegram X. La principale fonte della sua diffusione sono stati siti malevoli, su cui le potenziali vittime finiscono attraverso la pubblicità in applicazioni mobili. Su questi siti agli utenti viene proposto di installare Telegram X, presumibilmente per cercare partner per la comunicazione e gli incontri. Tali risorse internet sono orientati in maggiore misura agli abitanti di Indonesia e Brasile. Allo stesso tempo, abbiano rilevato questo backdoor anche in una serie di store di app Android di terze parti.

Esempio di sito malevolo da cui veniva scaricata la versione trojan di Telegram X

Uno dei compiti di Android.Backdoor.Baohuo.1.origin è il furto di dati confidenziali. Ad esempio, il malware ruba il login e la password dell'account Telegram della vittima, la cronologia della corrispondenza nell'app di messaggistica, gli SMS in arrivo, i contatti dalla rubrica del dispositivo, nonché è in grado di intercettare il contenuto degli appunti. I malintenzionati lo utilizzano, però, non solo come applicazione spia. Con l'ausilio di Android.Backdoor.Baohuo.1.origin loro effettivamente possono gestire l'account hackerato e controllare il funzionamento di Telegram X modificando le sue funzionalità. Così, il backdoor consente di aggiungere impercettibilmente l'utente e cancellarlo da canali Telegram, entrare a suo nome in chat e nascondere i dispositivi autorizzati per il suo account. Per eseguire azioni che richiedono un intervento nella logica di funzionamento dell'applicazione, viene utilizzato il framework Xposed. I cybercriminali gestiscono il backdoor sia in un modo tradizionale: tramite il server C2, e sia inviando comandi tramite il database Redis, il che in precedenza non si riscontrava in altri programmi malevoli per SO Android. Il numero totale di dispositivi infettati da Android.Backdoor.Baohuo.1.origin ha superato 58.000. Sono stati interessati circa 3.000 vari modelli di smartphone, tablet, TV box e persino auto con computer di bordo basati su Android.

Paesi con il maggior numero di dispositivi infettati da Android.Backdoor.Baohuo.1.origin

Statistiche

Secondo i dati della statistica di rilevamento di Dr.Web Security Space per dispositivi mobili, nel 2025 le minacce Android più diffuse sono stati i vari programmi malevoli: gli utenti li affrontavano nell'81,11% dei casi. Dopo di essi, con una quota del 10,73%, si sono posizionate le applicazioni potenzialmente pericolose. La terza posizione è occupata dai programmi pubblicitari, che venivano rilevati nel 5,89% dei casi. L'attività più bassa si osservava da parte dei software indesiderati: rappresentano il 2,27% dei rilevamenti.

Rispetto all'anno prima, la quota dei programmi malevoli e potenzialmente pericolosi è cresciuta, mentre la quota dei software indesiderati e pubblicitari è diminuita.

Applicazioni malevole

Da più anni i trojan pubblicitari della famiglia Android.HiddenAds rimangono leader per numero di rilevamenti. Nel 2025 la situazione è rimasta la stessa, tuttavia, nei 12 mesi passati la loro quota è diminuita leggermente dal 31,95% al 27,42%.

Questi trojan visualizzano fastidiose pubblicità sotto forma di banner e video a schermo intero. Per rendere più difficile per gli utenti il rilevamento e la rimozione dai dispositivi infetti dei programmi malevoli, dopo l'installazione questi ultimi cercano di "nascondersi", ad esempio, nascondendo o sostituendo le proprie icone nel menu della schermata principale.

Il rappresentante più attivo della famiglia si è rivelato Android.HiddenAds.657.origin che rappresenta oltre un terzo di tutti i rilevamenti. Il trojan era stato avvistato dai nostri analisti dei virus nel 2024, e durante questo periodo è diventato leader. Rappresenta una delle molteplici varianti di Android.HiddenAds.1994, un programma malevolo conosciuto dal 2021. Si sono diffuse anche alcune sue nuove versioni, ad esempio, Android.HiddenAds.666.origin e Android.HiddenAds.673.origin. Non si può escludere che con il tempo esse anche possono salire in cima alla statistica, come è accaduto in precedenza con altre varianti di Android.HiddenAds.1994.

Durante l'anno, gli utenti di nuovo affrontavano il sottofamiglia Android.HiddenAds, Aegis, tuttavia, la quota di tali programmi malevoli del totale di rilevamenti della famiglia è diminuita notevolmente dal 17,37% al 3,11%. Questi trojan si distinguono, tra l'altro, per loro la capacità di avviarsi automaticamente dopo l'installazione. Tra di essi sono state le più attive le varianti Android.HiddenAds.Aegis.1 e Android.HiddenAds.Aegis.8.origin.

I software malevoli secondi per diffusione si sono rivelati i trojan pubblicitari Android.MobiDash la cui quota, rispetto al 2024, è salita dal 5,38% al 15,64%. Il leader tra di essi era Android.MobiDash.7859. Dopo di essi si sono posizionati i programmi falsificazione Android.FakeApp, che vengono utilizzati per scopi fraudolenti, e invece di fornire le funzionalità promesse, caricano vari siti. Hanno rappresentato il 10,94% dei rilevamenti. È un indicatore inferiore rispetto al 2024 quando la loro quota ammontava al 18,28%. Tale diminuzione è avvenuta, tra l'altro, anche a causa di a una minore attività del trojan Android.FakeApp.1600, tuttavia, esso rimane ancora il rappresentante più diffuso della famiglia. Il suo compito principale è caricare siti di casinò online.

La quota dei programmi trojan della famiglia Android.Spy, che realizzano varie funzionalità spia, si è ridotta dall'11,52% al 3,09%. Allo stesso tempo, è aumentata l'attività dei trojan bancari. La loro quota del numero totale di rilevamenti delle applicazioni malevole ha raggiunto il 6,94% contro l'indicatore del 6,29% l'anno prima.

Nel 2025 dal 5,49% al 6,01% è aumentato il numero di rilevamenti dei packer software, che possono utilizzare, tra l'altro, anche i malintenzionati al fine di proteggere malware dal rilevamento e analisi. Il più spesso sui dispositivi protetti venivano rilevati i programmi malevoli con il packer Android.Packed.57146.

Si sono diffuse varie mod malevole dell'applicazione di messaggistica WhatsApp. Tra di esse erano varianti (rilevate da Dr.Web come Android.Click.1812) che caricano siti web impercettibilmente per le vittime. Inoltre, si osservava un'attività aumentata dei trojan multifunzionali della famiglia Android.Triada, che i malintenzionati possono incorporare nel firmware di dispositivi Android. La loro quota è cresciuta dal 2,74% al 7,48%.

Le dieci applicazioni Android malevole più frequentemente rilevate nel 2025 sono:

Android.HiddenAds.657.origin

Android.HiddenAds.4214

Android.HiddenAds.655.origin

Android.HiddenAds.4213

Android.HiddenAds.666.origin

Programmi trojan per la visualizzazione di pubblicità invadenti. I campioni di questa famiglia spesso vengono distribuiti sotto le apparenze di applicazioni innocue e in alcuni casi vengono installati nella directory di sistema da altri software malevoli. Entrando su dispositivi Android, tali trojan pubblicitari di solito nascondono all'utente la propria presenza sul sistema: per esempio, nascondono l'icona dell'applicazione dal menu della schermata principale.

Android.MobiDash.7859

Programma trojan che visualizza annunci pubblicitari invadenti. È un modulo software che gli sviluppatori software incorporano in applicazioni.

Android.FakeApp.1600

Programma trojan che carica il sito web specificato nelle sue impostazioni. Le varianti conosciute di questa applicazione malevola caricano un sito di casinò online.

Android.Click.1812

Rilevamento di mod malevole dell'applicazione di messaggistica WhatsApp, che impercettibilmente per l'utente possono caricare vari siti in modalità background.

Android.Packed.57146

Rilevamento di applicazioni malevole che sono impacchettate tramite un popolare programma di offuscamento di codice commerciale.

Android.Triada.5847

Rilevamento di un packer per i trojan della famiglia Android.Triada, studiato per proteggerli dall'analisi e dal rilevamento. Il più delle volte i malintenzionati lo utilizzano insieme a mod malevole dell'applicazione di messaggistica Telegram, in cui questi trojan sono direttamente integrati.

Software indesiderati

I software indesiderati più diffusi nel 2025 di nuovo sono diventate le applicazioni Program.FakeMoney.11, che rappresentano il 51,96% dei rilevamenti. Suggeriscono agli utenti di completare determinate attività per ricompense, e presumibilmente in seguito consentirebbero di convertire il premio in denaro reale. Tuttavia, in fin dei conti non avviene alcun pagamento. Insieme a Program.FakeMoney.11 si sono diffusi altri programmi simili, ad esempio: Program.FakeMoney.14 e Program.FakeMoney.16, ma gli utenti li riscontravano con una frequenza notevolmente minore.

Alla seconda posizione con il 10,37% si sono collocati i programmi Program.FakeAntiVirus.1, che imitano il funzionamento di antivirus e rilevano minacce inesistenti. Per "l'eliminazione" dell'infezione, suggeriscono di acquistare una versione di software completa.

Le applicazioni Program.CloudInject.1, che vengono modificate nel servizio cloud CloudInject, con una quota del 6,41% sono diventate le terze per diffusione. Le loro varianti, rilevate come Program.CloudInject.5, con un indicatore del 5,08% si sono collocate accanto ad esse alla quarta posizione. Le modifiche a tali programmi vengono apportate direttamente sul server remoto, mentre l'accesso al servizio viene fornito dall'utility Tool.CloudInject che è solo l'involucro per il suo uso. Durante la modifica ai programmi vengono aggiunti autorizzazioni di sistema pericolose e un codice offuscato. Inoltre, tramite il servizio CloudInject i modificatori possono gestire in remoto le applicazioni modificate, ad esempio, bloccarle e chiedere di inserire un codice per l'ulteriore utilizzo.

Nel 2025 si osservava una leggera crescita del numero di rilevamenti di una serie di programmi che possono essere utilizzati per monitorare utenti e controllare la loro attività. Nelle mani dei malintenzionati, tali strumenti si trasformano in software spia. Così, la quota dell'applicazione Program.TrackView.1.origin e della sua variante Program.TrackView.2.origin è aumentata rispettivamente dal 2,40% al 2,91% e dallo 0,21% allo 0,97%. La quota di Program.SecretVideoRecorder.1.origin è salita dal 2,03% al 2,56%, e quella della sua variante Program.SecretVideoRecorder.2.origin dallo 0,90% all'1,02%. L'indicatore del programma Program.SnoopPhone.1.origin è aumentato dallo 0,31% all'1,01%.

Le dieci applicazioni indesiderate più frequentemente rilevate nel 2025 sono:

Program.FakeMoney.11

Program.FakeMoney.14

Rilevamento di applicazioni che presumibilmente consentirebbero di guadagnare con l'effettuazione di determinate azioni o compiti. Questi programmi simulano l'accredito di premi, tuttavia, per ritirare il denaro "guadagnato", è necessario accumulare una determinata somma. Di solito hanno una lista dei sistemi di pagamento e delle banche più popolari attraverso cui presumibilmente sarebbe possibile trasferire i premi. Ma anche quando gli utenti riescono ad accumulare la somma sufficiente per il prelievo, non ricevono i pagamenti promessi. Con questo record vengono rilevati anche altri software indesiderati basati sul codice di tali programmi.

Program.FakeAntiVirus.1

Rilevamento di programmi pubblicitari che simulano il funzionamento di software antivirus. Tali programmi possono segnalare minacce inesistenti e ingannare gli utenti chiedendo di pagare per l'acquisto di una versione completa.

Program.CloudInject.1

Program.CloudInject.5

Rilevamento di applicazioni Android modificate tramite il servizio cloud CloudInject e l'omonima utility Android (aggiunta al database dei virus Dr.Web come Tool.CloudInject). Tali programmi vengono modificati sul server remoto, e l'utente (modificatore) interessato a modificarli non ha il controllo su che cosa esattamente verrà incorporato in essi. Inoltre, le applicazioni ricevono un set di autorizzazioni pericolose. Dopo la modificazione dei programmi, al modificatore compare la possibilità di gestirli in remoto: bloccarli, visualizzare dialoghi configurabili, tracciare l'installazione e la rimozione di altri software ecc.

Program.TrackView.1.origin

Program.TrackView.2.origin

Rilevamento di un'applicazione che consente di monitorare gli utenti attraverso i dispositivi Android. Utilizzando questo programma, i malintenzionati possono rilevare la posizione dei dispositivi di destinazione, utilizzare la fotocamera per registrare video e scattare foto, effettuare l'ascolto tramite il microfono, creare registrazioni audio ecc.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Rilevamento di varie versioni di un'applicazione per la ripresa di foto e video in background attraverso le fotocamere integrate di dispositivi Android. Questo programma può funzionare impercettibilmente consentendo di disattivare le notifiche di registrazione, nonché cambiare con quelle false l'icona e la descrizione dell'app. Tali funzionalità lo rendono potenzialmente pericoloso.

Program.SnoopPhone.1.origin

Programma per il monitoraggio dei proprietari di dispositivi Android. Consente di leggere SMS, ottenere informazioni su chiamate, tracciare la posizione e registrare l'audio dell'ambiente circostante.

Programmi potenzialmente pericolosi

Nel 2025 sono diventati i software potenzialmente pericolosi più diffusi i programmi modificati tramite lo strumento NP Manager. È un'utility per la modifica di applicazioni, che contiene vari moduli per l'offuscamento e la protezione del codice dei programmi, nonché per l'aggiramento del controllo della loro firma digitale dopo la modifica. I malintenzionati spesso la adoperano per la protezione di applicazioni malevole in modo da ostacolare il loro rilevamento da parte degli antivirus. La quota di tali programmi, rispetto al 2024, è cresciuta dal 24,52% al 53,59%, ed essi hanno rappresentato già più della metà dei rilevamenti dei software potenzialmente pericolosi. Le varianti riscontrati con la maggiore frequenza sui dispositivi protetti sono Tool.NPMod.3 (32.85%), Tool.NPMod.1 (12.61%), Tool.NPMod.1.origin (3.02%) e Tool.NPMod.4 (2.31%).

Dal 3,93% all'8,11% è cresciuto il numero di rilevamenti di Tool.Androlua — una serie di framework creati per lo sviluppo di applicazioni Android in linguaggio di programmazione Lua. Essi richiedono numerose autorizzazioni di sistema, incluso l'uso del servizio di funzioni di accessibilità di Android. I programmi creati con il loro ausilio sono costruiti su script Lua che sono criptati e vengono decriptati solo immediatamente prima dell'esecuzione. Tali script potenzialmente possono essere malevoli. Dall'8,16% al 10,06% è cresciuta la quota delle applicazioni modificate tramite l'utility Tool.LuckyPatcher. Questo strumento modifica i programmi installati scaricando da internet script appositamente preparati.

Allo stesso tempo, la quota delle utility Tool.SilentInstaller, che consentono di avviare applicazioni Android senza installazione, è diminuita dal 33,10% al 10,55%. Le varianti della famiglia più frequenti nel 2025 sono stati Tool.SilentInstaller.14.origin (4.66%), Tool.SilentInstaller.6.origin (2.07%) и Tool.SilentInstaller.7.origin (1.88%). Inoltre, dal 13,17% al 2,58% è scesa la quota dei programmi protetti dal packer Tool.Packer.1.origin.

Le dieci applicazioni potenzialmente pericolose più diffuse rilevate su dispositivi Android nel 2025 sono:

Tool.NPMod.3

Tool.NPMod.1

Tool.NPMod.1.origin

Tool.NPMod.4

Rilevamento di applicazioni Android modificate tramite l'utility NP Manager. Questa utility contiene moduli per l'offuscamento e la protezione del codice di programmi, nonché per l'aggiramento del controllo della loro firma digitale dopo la modifica. L'offuscamento da essa aggiunto spesso viene utilizzato in malware per renderne più difficile il rilevamento e l'analisi.

Tool.Androlua.1.origin

Rilevamento di una serie di versioni potenzialmente pericolose di un framework specializzato per lo sviluppo di programmi Android nel linguaggio di programmazione di scripting Lua. La logica principale di applicazioni Lua è situata in script corrispondenti che sono cifrati e vengono decifrati dall'interprete prima dell'esecuzione. Spesso questo framework di default chiede l'accesso a molteplici autorizzazioni di sistema per il funzionamento, tra l'altro, per l'uso del servizio di funzioni di accessibilità di SO Android. Come risultato, gli script Lua eseguiti attraverso di esso sono in grado di effettuare varie azioni malevole in base alle autorizzazioni ricevute.

Tool.LuckyPatcher.2.origin

Tool.LuckyPatcher.1.origin

Utility che consente di modificare le applicazioni Android installate (creare patch per esse) al fine di modificarne la logica di funzionamento o aggirare determinate restrizioni. Ad esempio, utilizzandola, gli utenti possono tentare di disattivare il controllo dei permessi di root in programmi bancari od ottenere risorse illimitate in giochi. Per creare le patch, l'utility scarica da internet script appositamente preparati che chiunque sia interessato può creare e aggiungere a un database comune. Le funzionalità di tali script possono risultare, tra l'altro, anche malevole, pertanto, le patch create possono rappresentare un potenziale pericolo.

Tool.SilentInstaller.14.origin

Piattaforma software potenzialmente pericolosa che consente alle applicazioni di avviare i file APK senza la loro installazione. Crea un ambiente di esecuzione virtuale che non influisce sul sistema operativo principale.

Tool.Packer.1.origin

Utility packer specializzata per la protezione di applicazioni Android dalla modifica e dal reverse engineering. Non è malevola, ma può essere utilizzata per la protezione di programmi sia innocui che trojan.

Applicazioni pubblicitarie

Tra i software pubblicitari, nel 2025 sono state le più diffuse le mod estranee dell'applicazione WhatsApp, rilevate come Adware.ModAd.1. In tali varianti è incorporata la funzionalità di apertura di link durante l'uso dell'app di messaggistica. Da questi link viene eseguito il reindirizzamento verso i siti pubblicizzati. Rispetto al 2024, la quota di Adware.ModAd.1 del numero totale di applicazioni pubblicitarie rilevate sui dispositivi protetti è scesa dal 47,45% al 26,90%.

I moduli Adware.Adpush, che vengono incorporati in programmi Android e visualizzano notifiche pubblicitarie, si trovano alla seconda posizione, avendo aumentato l'attività nell'arco dell'anno dal 14,76% al 26,19%. La terza posizione con l'indicatore 8,88% è occupata da esemplari della famiglia Adware.Basement, la cui quota è rimasta praticamente invariata rispetto all'anno precedente. Tali programmi possono visualizzare annunci pubblicitari che portano a siti malevoli.

Si sono diffuse anche le famiglie di applicazioni pubblicitarie Adware.Airpush (il numero di rilevamenti è aumentato dal 4,35% al 5,14%), Adware.Fictus (una crescita dal 3,29% al 6,21%), Adware.Youmi (una crescita dall'1,62% al 2,91%), nonché Adware.Leadbolt (una crescita dal 2,26% al 2,41%) e Adware.Jiubang (una crescita dall'1,70% al 2,38%).

Le dieci applicazioni pubblicitarie più diffuse rilevate su dispositivi Android nel 2025 sono:

Adware.ModAd.1

Rilevamento di alcune versioni modificate (mods) dell'app di messaggistica WhatsApp, nelle funzionalità delle quali è incorporato un codice per caricare i link di destinazione tramite web view durante l'utilizzo dell'app. Da questi indirizzi internet viene eseguito il reindirizzamento verso i siti pubblicizzati — ad esempio, casinò online e scommesse, siti per adulti.

Adware.AdPush.3.origin

Adware.Adpush.21846

Adware.AdPush.39.origin

Moduli pubblicitari che possono essere integrati in programmi Android. Visualizzano notifiche pubblicitarie che fuorviano gli utenti. Ad esempio, tali notifiche possono somigliare ai messaggi del sistema operativo. Inoltre, questi moduli raccolgono una serie di dati riservati, nonché sono in grado di scaricare altre app e avviarne l'installazione.

Adware.Basement.1

Applicazioni che visualizzano annunci pubblicitari indesiderati che spesso portano a siti malevoli e truffaldini. Hanno una base di codice comune con i programmi indesiderati Program.FakeMoney.11.

Adware.Fictus.1.origin

Modulo pubblicitario che i malintenzionati incorporano in versioni clone di popolari giochi e programmi Android. Viene integrato in programmi tramite un packer specializzato net2share. Le copie di software create in questo modo vengono distribuite attraverso diversi store di app e dopo l'installazione visualizzano pubblicità indesiderate.

Adware.Airpush.7.origin

Moduli software che vengono incorporati in applicazioni Android e visualizzano le più svariate pubblicità. A seconda della versione e variante, queste possono essere notifiche, finestre a comparsa o banner pubblicitari. Tramite questi moduli, i malintenzionati spesso distribuiscono programmi malevoli invitando a installare determinati software. Inoltre, tali moduli trasmettono al server remoto varie informazioni riservate.

Adware.Youmi.4

Rilevamento di un modulo adware indesiderato che colloca scorciatoie pubblicitarie sulla schermata iniziale di dispostivi Android.

Adware.Jiubang.1

Software pubblicitario indesiderato per dispositivi Android, che durante l'installazione di applicazioni visualizza un banner con programmi raccomandati per l'installazione.

Adware.Inmobi.1

Rilevamento di alcune versioni di un SDK pubblicitario Inmobi, che sono in grado di effettuare telefonate e aggiungere eventi al calendario di dispostivi Android.

Minacce su Google Play

Nel 2025 il laboratorio antivirus dell'azienda Doctor Web ha scoperto sullo store di app Google Play oltre 180 programmi malevoli, indesiderati e pubblicitari, che in totale sono stati installati almeno 2.165.040 volte. Includevano, in particolare, le varianti diverse dei trojan Android.HiddenAds.4213 e Android.HiddenAds.4215, che nascondevano la propria presenza sui dispositivi infetti e visualizzavano la pubblicità sopra l'interfaccia del sistema operativo e di altre applicazioni. Questi trojan venivano distribuiti sotto le apparenze di app di fotoritocco, programmi per la ripresa di foto e video e altri software.

Programmi Time Shift Cam e Fusion Collage Editor erano i trojan pubblicitari Android.HiddenAds

Sotto le spoglie dei software ufficiali dello scambio di criptovalute Dydx e delle piattaforme blockchain Raydium e Aerodrome Finance, i cybercriminali distribuivano i trojan Android.CoinSteal.202, Android.CoinSteal.203 e Android.CoinSteal.206, che rubavano criptovalute.

In programmi Raydium e Dydx Exchange erano nascosti i software trojan per il furto di criptovalute

Queste applicazioni malevole suggerivano agli utenti di inserire la frase mnemonica presumibilmente per la connessione di un portafoglio crypto, in realtà però, i dati inseriti venivano trasmessi ai malintenzionati. Per confondere ancora di più le potenziali vittime, i moduli per l'inserimento di frasi mnemoniche potevano essere mascherati da richieste da altre piattaforme crypto.

Android.CoinSteal.206 visualizza un modulo di phishing presumibilmente a nome dello scambio di criptovalute PancakeSwap e chiede la frase mnemonica per l'accesso al portafoglio crypto

Durante l'anno scorso, i nostri specialisti hanno rilevato su Google Play più di 80 applicazioni malevole della famiglia Android.Joker, che iscrivono gli utenti a servizi a pagamento. Venivano distribuiti sotto le vesti di software diversi, inclusi app di messaggistica, programmi per la fotografia, utility di sistema, editor di immagini e programmi per l'elaborazione di documenti.

Esempi di trojan Android.Joker rilevati: Android.Joker.2494 veniva distribuito come app di messaggistica File Text Messages, e Android.Joker.2496 come utility Useful Cleaner per l'ottimizzazione del funzionamento dello smartphone

I cybercriminali di nuovo distribuivano gli svariati programmi falsificazione Android.FakeApp, che vengono impiegati in vari schemi di frode. Il loro compito principale è caricare pagine web di destinazione. Una parte di questi trojan i malintenzionati spacciavano per software a tema finanziario. Tali programmi caricavano siti fraudolenti presumibilmente legati a investimenti e guadagno online, nonché siti di phishing. Altri programmi falsificazione Android.FakeApp venivano distribuiti con il pretesto di giochi, e a determinate condizioni, potevano caricare siti di casinò online e scommesse. Abbiamo registrato in totale più di 100 tali programmi su Google Play.

Esempi di applicazioni falsificazione Android.FakeApp. Trojan Android.FakeApp.1863, nascosto nel programma TPAO, era orientato agli utenti turchi e suggeriva loro di gestire depositi e redditi. Mentre il trojan Android.FakeApp.1840 veniva distribuito sotto forma di gioco Pino Bounce e poteva caricare un sito di casinò online

Gli analisti dei virus Doctor Web hanno rilevato, inoltre, un nuovo software pubblicitario indesiderato, denominato Adware.Adpush.21912, che era nascosto nel programma Coin News Promax con informazioni su criptovalute. Adware.Adpush.21912 visualizza notifiche, al clic sulle quali viene caricato in una WebView un link impostato dal server C2.

Applicazione Coin News Promax da Google Play era il software pubblicitario Adware.Adpush.21912

Oltre a ciò, i nostri specialisti hanno individuato un programma indesiderato chiamato Program.FakeMoney.16 che veniva distribuito con il pretesto di un'app con il nome Zeus Jackpot Mania. Gli utenti ricevevano in esso in forma di gioco premi virtuali che quindi presumibilmente potrebbero convertire in denaro reale e prelevare dall'applicazione.

Programma Zeus Jackpot Mania era l'applicazione indesiderata Program.FakeMoney.16

Per il "prelievo" del denaro, il programma chiedeva una serie di dati, tuttavia, gli utenti non ricevevano alcun pagamento.

Program.FakeMoney.16 chiede di indicare il nome completo dell'utente e informazioni sull'account bancario

Trojan bancari

Secondo i dati delle statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili, nel 2025 la quota dei trojan bancari del numero totale di programmi malevoli registrati è stata il 6,94%, il che è leggermente superiore al valore del 6,29% dell'anno precedente. Durante i primi tre mesi, l'attività dei trojan bancari rimaneva approssimativamente allo stesso livello, ma già all'inizio del II trimestre essa è notevolmente aumentata. Successivamente ha iniziato a diminuire gradualmente raggiungendo il minimo annuale a luglio. Da agosto il numero di rilevamenti ha ricominciato a crescere e già ad ottobre ha raggiunto il picco. Alla fine dell'anno si osservava un altro calo.

Nel 2025 i malintenzionati continuavano a utilizzare una serie di popolari famiglie di trojan bancari nei loro attacchi. Tra i più attivi erano i programmi malevoli Android.Banker.Mamont, Coper, Android.BankBot.Ermac e alcuni altri. Inoltre, sono state rilevate nuove versioni dei trojan NGate, che utilizzano la tecnologia NFC per il furto di denaro. Questi programmi malevoli trasmettono ai malintenzionati dati dal chip NFC dei dispositivi infetti, consentendo ai truffatori, senza ulteriore coinvolgimento degli utenti, di prelevare denaro dai conti delle vittime ai bancomat o fare acquisti utilizzando il pagamento contactless. Tra le varianti più attive erano Android.Banker.NGate.8, Android.Banker.NGate.17, Android.Banker.NGate.5.origin.

È continuata la diffusione di Android.SpyMax — applicazioni malevole con funzionalità spia, basate sul codice sorgente reso pubblico del trojan RAT SpyNote. I cybercriminali le utilizzano, tra l'altro, anche come trojan bancari. Rispetto al 2024, però, l'attività di Android.SpyMax è diminuita. Queste applicazioni malevole hanno rappresentato il 12,35% dei rilevamenti di trojan bancari contro l'indicatore del 32,04% dell'anno prima.

Nel 2025 gli utenti russi il più spesso affrontavano i vari trojan bancari che secondo la classificazione dell'azienda Doctor Web rientrano nell'ampia famiglia Mamont (Android.Banker.790.origin, Android.Banker.Mamont.3.origin, Android.Banker.Mamont.28.origin). Include svariate applicazioni malevole che gli autori di virus continuano attivamente a modificare e sviluppare. Questi programmi intercettano gli SMS con codici monouso da istituzioni finanziarie e rubano i dati di carte bancarie e altre informazioni confidenziali.

Durante l'anno, i nostri specialisti registravano un'attività di trojan bancari mirati agli abitanti di Uzbekistan e degli stati confinanti con esso, inclusa Armenia, Azerbaigian e Kirghizistan. Il più spesso sui dispositivi protetti venivano rilevati Android.Banker.951.origin, Android.Banker.881.origin e Android.Banker.963.origin, che rubano i codici SMS di verifica da istituzioni creditizie. I cybercriminali modificano di continuo tali applicazioni malevole per renderne più difficile il rilevamento. Gli utenti turchi il più spesso sono stati attaccati dai trojan bancari Android.BankBot.Coper.12.origin, Android.Banker.5685 e Android.Banker.864.origin, che anche sono in grado di sottrarre il contenuto di messaggi SMS.

Nello stesso tempo, gli abitanti di Iran dovevano affrontare i trojan Android.BankBot.1190.origin, Android.BankBot.1191.origin e loro varianti. Questi programmi malevoli rubano informazioni bancarie dai messaggi SMS: trovano in essi dati sulle carte bancarie, sui conti della vittima, sulla somma di denaro disponibile, sulle operazioni effettuate ecc., dopodiché inviano tali informazioni ai malintenzionati. Inoltre, raccolgono informazioni sui contatti dalla rubrica e sono in grado di inviare messaggi SMS su comando degli attaccanti.

Gli abitanti di molti paesi di Asia Sudorientale e Asia Pacifico, inclusa Indonesia e Corea del Sud, venivano attaccati dal trojan Android.BankBot.Remo.1.origin. Questo malware utilizza le funzioni di accessibilità per rubare dati dalle applicazioni di banche e portafogli crypto installate sui dispositivi infetti. Oltre al trojan Remo, gli utenti sudcoreani riscontavano anche i trojan Android.BankBot.15140, Android.BankBot.Ermac.6.origin e GoldDigger (Android.BankBot.GoldDigger.9, Android.BankBot.GoldDigger.11).

I programmi malevoli GoldDigger venivano adoperati anche contro gli utenti indonesiani e thailandesi. E il trojan bancario Android.BankBot.Gigabud.1.origin veniva utilizzato contro i clienti di istituzioni creditizie di Indonesia e Malesia. Nello stesso tempo, i malintenzionati hanno continuato ad impiegare i trojan MoqHao negli attacchi al pubblico giapponese. Si sono diffuse le varianti di MoqHao come Android.Banker.672.origin, Android.Banker.5063, Android.Banker.740.origin e una serie di altre.

Uno dei trojan bancari mirati agli abitanti di India è stato Android.Banker.6209. Il trojan imita l'aspetto esteriore di vere applicazioni bancarie al fine di rubare dati degli utenti: i loro nomi, numeri di carte bancarie e codici di sicurezza CVV. Oltre a questo, utilizza i dispositivi infetti per il mining nascosto della criptovaluta Monero. Di nuovo erano diffusi anche i trojan bancari RewardSteal, come Android.Banker.814.origin, Android.Banker.913.origin e Android.Banker.5132. Per il furto di dati bancari, essi si mascherano da software presumibilmente legati a istituzioni creditizie indiane: ad esempio, ICICI, SBI, Axis e PM Kisan.

I proprietari di dispostivi Android brasiliani il più spesso venivano attaccati dai malware Android.BankBot.1183.origin, nonché da una serie di esemplari della famiglia NGate —Android.Banker.NGate.8, Android.Banker.NGate.9 и Android.Banker.NGate.14.

Nel 2025 gli autori di virus hanno continuato a utilizzare le varie tecniche di protezione dei trojan Android bancari dall'analisi e dal rilevamento. Ad esempio, si sono diffusi gli svariati metodi di offuscamento e occultamento di codice, quale DEX to C (conversione di codice DEX eseguibile in codice di linguaggio C), nonché l'offuscamento di applicazioni malevole tramite lo strumento NP Manager.

Sono rimaste popolari le tecniche di manipolazione con il formato degli archivi ZIP, i quali in effetti sono i file APK di applicazioni Android. Tra queste sono la manipolazione con i campi compression method e compressed size nella struttura dell'intestazione del file locale all'interno dell'APK, nonché l'uso di dati su disco non corretti nel record ECDR e CD. Ne abbiamo parlato in maggior dettaglio in una panoramica recente nella sezione sui trojan bancari. A seguito di tali manipolazioni, i programmi trojan rimangono completamente operativi, ma molti strumenti di analisi statica li percepiscono come danneggiati e non sono in grado di elaborarli correttamente.

Gli attori di minacce hanno cominciato ad adoperare più attivamente i programmi dropper per nascondere il payload principale, ad esempio, per aggirare la protezione interna dello store Google Play. I cybercriminali utilizzano anche gli assistenti di intelligenza artificiale durante la scrittura del codice di trojan bancari, il che ne semplifica lo sviluppo e porta alla comparsa di nuove famiglie. Oltre a questo, i malintenzionati impiegano più spesso i bot Telegram per la gestione di trojan bancari e l'esfiltrazione di dati da dispositivi infetti.

Prospettive e tendenze

Nel 2025 abbiamo osservato un'alta attività dei trojan pubblicitari, che rimangono le minacce per SO Android più diffuse. Di nuovo erano largamente diffusi anche i vari programmi falsificazione utilizzati per scopi fraudolenti, tra l'altro, per il phishing e il furto di denaro. Oltre a ciò, è continuata la crescita del numero di attacchi con l'utilizzo dei trojan bancari. Tutte queste applicazioni malevole sono una fonte di reddito illegale per i cybercriminali, pertanto, la loro popolarità rimarrà a un livello elevato. L'anno prossimo molto probabilmente esse di nuovo saranno uno dei popolari strumenti di guadagno dei malintenzionati. Allo stesso tempo, i malintenzionati impiegano sempre più spesso i bot Telegram per la gestione di trojan bancari. Questa tendenza molto probabilmente continuerà.

La comparsa del programma malevolo Android.Clipper.31, nonché delle nuove versioni dei trojan Android.Vo1d e Android.Triada nei firmware di smartphone e TV box indica un continuo interesse dei malintenzionati a distribuire malware nei modi che ne rendono molto più difficile il rilevamento. È molto probabile che nel nuovo anno la tendenza si manterrà, e vedremo nuovi casi di preinstallazione di applicazioni malevole su smartphone, TV box e altri tipi di dispostivi Android.

Ci si può aspettare anche la comparsa di programmi malevoli più complessi, capaci di eseguire un ampio spettro di compiti. Tra di essi possono essere ulteriori backdoor e vari trojan spia. Oltre a ciò, gli attori di minacce molto probabilmente di nuovo utilizzeranno gli store di programmi ufficiali, incluso Google Play, per la collocazione in essi di software malevoli e indesiderati.

I malintenzionati anche continueranno a incorporare i vari metodi di protezione per gli strumenti da loro creati. Inoltre, utilizzeranno più spesso gli assistenti basati sull'IA durante la scrittura di codice, e in conseguenza di ciò, ci si può aspettare la comparsa di un numero maggiore di nuove famiglie.

L'azienda Doctor Web monitora il panorama delle minacce nel segmento mobile e risponde prontamente alle sfide che emergono. Agli utenti di Android consigliamo di installare Dr.Web Security Space per dispositivi mobili per proteggersi dai programmi malevoli e da altri programmi pericolosi.

Indicatori di compromissione