News
Luglio 7, 2025
Negli ultimi mesi, un’ondata di minacce sofisticate ha preso di mira l’ecosistema Android, colpendo migliaia di dispositivi mobili in tutto il mondo. Malware come AntiDot, GodFather e SuperCard X stanno sfruttando vulnerabilità tecniche e comportamenti umani per compromettere app, dati e identità digitali. Per i responsabili della sicurezza aziendale (CISO, IT Manager…) ma anche per i responsabili esecutivi di prodotto (Product Owner e Project Manager) la posta in gioco è altissima.
Secondo quanto riportato da The Hacker News, un nuovo malware Android chiamato AntiDot ha già compromesso oltre 3.775 dispositivi in 273 campagne distinte, sfruttando overlay malevoli, servizi di accessibilità, attacchi NFC e ambienti virtualizzati per sottrarre dati sensibili e credenziali bancarie.
In questo articolo analizziamo:
le tecniche utilizzate dai malware Android citati poco fa
le implicazioni per la sicurezza aziendale
cosa può (e deve) fare un’organizzazione per evitare di diventare la prossima vittima
Sviluppato dal gruppo cybercriminale LARVA-398, AntiDot è venduto come Malware-as-a-Service (MaaS) nei forum underground. Si tratta di un pacchetto modulare che offre tre funzionalità principali:
registrazione dello schermo tramite abuso dei servizi di accessibilità
intercettazione degli SMS
estrazione di dati da app di terze parti, in particolare applicazioni bancarie e crypto
Il malware viene distribuito tramite:
campagne di phishing localizzate geograficamente
reti pubblicitarie malevole (malvertising)
app contraffatte che si spacciano per aggiornamenti di Google Play
Una volta installato, il malware chiede all’utente di abilitare i permessi di accessibilità (se ti sei perso il webinar dove parliamo proprio di questo, puoi recuperarlo cliccando qui). Subito dopo, scarica e installa dinamicamente il codice dannoso, in una catena a tre stadi:
installazione di un APK con classi offuscate
richiesta di permessi con un finto aggiornamento
caricamento del codice malevolo tramite file criptati
L’attaccante così ottiene accesso remoto al dispositivo, può spiare attività, rubare credenziali, e controllare le app bancarie in tempo reale.
Verifica la resistenza delle tue app mobili con DSA Pro, il servizio Mobisec per test approfonditi di sicurezza.
Una delle armi più potenti di AntiDot è la sua capacità di creare schermate sovrapposte (overlay) che imitano le schermate di login delle app legittime. Quando l’utente apre un’app bancaria o crypto, il malware intercetta l’evento e mostra un login falso, indistinguibile dall’originale.
Il modulo di controllo remoto è costruito con MeteorJS, un framework JavaScript open-source che consente comunicazioni real-time tra server e client. L’interfaccia C2 (Command & Control) è divisa in sezioni ed è così articolata che dimostra quanto AntiDot non sia un malware improvvisato, ma una piattaforma scalabile per generare dark business.
Come se non bastasse, un’altra minaccia parallela è rappresentata dal malware GodFather, recentemente analizzato da Zimperium. A differenza dei classici trojan che imitano le app, GodFather adotta un approccio radicale: crea una sandbox virtuale all’interno del dispositivo, dove installa una copia vera dell’app bancaria.
In questo ambiente isolato, l’utente inserisce le credenziali credendo di essere nell’app reale, mentre in realtà è completamente osservato e controllato dal malware.
GodFather sfrutta anche:
bypass dei controlli tramite ZIP manipulation
inserimento di permessi inutili nell’AndroidManifest per confondere i tool di analisi
tecniche di session-based installation per aggirare le protezioni di Android 13
Un aspetto particolarmente preoccupante è la capacità di rubare le credenziali di sblocco del dispositivo (pattern, PIN o password) rendendo il malware uno strumento pericolosamente completo.
Se la tua app gestisce dati finanziari o personali, non puoi affidarti solo a test interni. Richiedi un pentest avanzato con DSA Pro e metti alla prova ogni punto di vulnerabilità.
Scopri di più
Un altro fronte d’attacco riguarda l’uso fraudolento della tecnologia NFC. Il malware SuperCard X, recentemente rilevato in Italia, sfrutta un tool open source (NFCGate) per:
intercettare traffico NFC tra smartphone e POS
rubare dati delle carte di credito
inviare comandi all’EMV chip per transazioni fraudolente
Distribuito tramite app camuffate da strumenti utili, SuperCard X è un esempio lampante di come la tecnologia legittima possa essere strumentalizzata. La sua diffusione è supportata da canali Telegram e piattaforme MaaS cinesi.
A rendere la situazione ancora più grave è che anche gli store ufficiali non sono immuni. L’app RapiPlata, una finta app di prestiti, è stata scaricata oltre 150.000 volte da Google Play e App Store Apple. Una volta installata, la app:
estraeva SMS, cronologia chiamate, eventi calendario
accedeva alle app installate e ai dati contenuti
caricava tutto su server remoti
Un altro gruppo di app, invece, puntava ai wallet crypto rubando i seed phrase tramite WebView phishing.
Le minacce non vengono solo da app di terze parti, anche la tua app può diventare una leva di attacco. Con DSA Pro puoi simulare scenari reali d’attacco e correggere vulnerabilità prima che lo facciano gli hacker.
I malware come AntiDot, GodFather e SuperCard X rappresentano una nuova generazione di minacce mobili, in grado di:
eludere i controlli standard (anche Google Play Protect)
sfruttare componenti del sistema operativo
usare tecniche avanzate come la virtualizzazione
sottrarre dati in tempo reale e senza segnali evidenti
Per le aziende, tutto questo si traduce in dotarsi di un approccio proattivo, automatizzato e scalabile, come quello offerto da Mobisec con la DSA Suite, e in particolare con DSA Pro, che consente di:
simulare attacchi reali (black box / grey box)
identificare overlay, permessi anomali, injection e DEX offuscati
testare l’integrità delle librerie esterne
valutare se l’app può essere usata come vettore per altre infezioni
Ogni giorno in cui un’app non viene testata in modo approfondito, è un giorno in cui può diventare l’anello debole della catena.
Fai il primo passo: scopri DSA Pro e proteggi davvero le tue applicazioni mobili.