Il tuo smartphone Android potrebbe essere una bomba a orologeria pronta a esplodere. Mentre scorri distrattamente le notifiche, qualcuno potrebbe già star frugando nel tuo conto corrente, spiando le tue conversazioni, intercettando i codici di accesso alla banca. Non è fantascienza da film hollywoodiano: è la realtà documentata da Malwarebytes Labs, che ha lanciato l’ennesimo allarme sulla sicurezza del Google Play Store.
Quattro applicazioni apparentemente innocue, sviluppate dal gruppo Mobile apps Group e scaricate complessivamente oltre un milione di volte, sono state identificate come veicoli di un sofisticato trojan chiamato HiddenAds. Ma la minaccia non si ferma qui: parallelamente è emerso Albiriox, un malware ancora più insidioso che rappresenta l’evoluzione del crimine digitale e che viene venduto come servizio ai cybercriminali di mezzo mondo. Le quattro app infette da HiddenAds sono Bluetooth Auto Connect, Driver: Bluetooth – Wi-Fi – USB, Bluetooth App Sender e Mobile transfer: smart switch. Tutte legate a funzionalità di connettività e trasferimento dati, mascherano il loro vero scopo dietro un’interfaccia pulita e funzionalità apparentemente legittime. Il trojan non si manifesta immediatamente dopo l’installazione: resta dormiente per alcuni giorni, una strategia deliberata per superare i controlli di sicurezza automatizzati del Play Store e non destare sospetti nell’utente.
Quando finalmente si attiva, HiddenAds mostra il suo vero volto: apre pagine di phishing all’interno del browser Chrome per sottrarre credenziali di accesso e informazioni sensibili. Non si limita a fastidiosi pop-up pubblicitari, ma utilizza tecniche sofisticate per ingannare l’utente, configurandosi come un vero e proprio info stealer capace di compromettere l’intera sicurezza digitale della vittima. HiddenAds non è una novità assoluta nel panorama delle minacce Android. La sua presenza è documentata sin dal 2019, e già nel luglio 2021 McAfee aveva condotto analisi approfondite sulla sua diffusione tramite app mascherate da strumenti legittimi. La versione più recente, la 4.6, è stata distribuita sul Play Store il 15 dicembre 2021, ma il problema rimane drammaticamente attuale. Google, nonostante i continui miglioramenti nei sistemi di sicurezza, fatica a tenere il passo con l’ingegno dei criminali informatici.
Accanto a HiddenAds, emerge una minaccia ancora più sofisticata: Albiriox. Identificato per la prima volta nel settembre 2025 e analizzato approfonditamente dai ricercatori di Cleafy e Malwarebytes, questo Remote Access Trojan rappresenta un salto evolutivo nel mondo del malware Android. Non si tratta più soltanto di sottrarre password o intercettare SMS: l’obiettivo è il controllo totale e in tempo reale del dispositivo della vittima. Albiriox implementa una sessione VNC che consente ai criminali di controllare lo smartphone come se lo tenessero letteralmente in mano: ogni clic, ogni swipe, ogni digitazione di testo diventa possibile da remoto. Ma la vera pericolosità risiede nell’utilizzo dell’Accessibility Service di Android, che permette al malware di aggirare protezioni critiche come FLAG_SECURE e catturare contenuti dello schermo in tempo reale. Gli attaccanti possono letteralmente vedere cosa vede la vittima, operare sul suo conto bancario, svuotare portafogli di criptovalute, tutto mentre l’utente crede di essere al sicuro.
La distribuzione di Albiriox segue canali collaudati ma sempre efficaci. I criminali creano pagine fasulle che imitano Google Play o store alternativi, inducendo gli utenti a scaricare il malware credendo di installare applicazioni legittime. Una delle prime campagne osservate, mirata agli utenti in Austria, utilizzava esche legate alla catena di supermercati Penny Market: le vittime venivano attirate tramite SMS o link fraudolenti su pagine che imitavano alla perfezione lo store ufficiale, promettendo sconti o concorsi a premi. Il secondo canale di distribuzione sfrutta messaggi di phishing che si spacciano per aggiornamenti critici o promozioni allettanti. Il terzo impiega app intermedie, note come dropper, che scaricano il vero payload del malware chiedendo diritti di sistema apparentemente innocui. Questa stratificazione di metodi rende la difesa particolarmente complessa per gli utenti medi, che spesso non possiedono le competenze tecniche per riconoscere i segnali di allarme.
Ciò che rende Albiriox particolarmente preoccupante è il suo modello di distribuzione. Non è gestito da un singolo gruppo isolato, ma viene venduto come prodotto commerciale secondo il modello Malware-as-a-Service sui forum underground russofoni. Il costo mensile si aggira tra i 650 e i 720 dollari, una cifra accessibile che democratizza il cybercrimine: chiunque sia disposto a pagare l’abbonamento può lanciare campagne di frode su larga scala, anche senza competenze di programmazione avanzate. Il pacchetto include accesso a un builder personalizzato e a Golden Crypt, un sofisticato tool di offuscamento che riduce drasticamente il rilevamento da parte degli antivirus. Indicatori tecnici e linguistici puntano verso un gruppo di criminali russofoni ben organizzato, ma la minaccia si estende ben oltre i confini geografici. Il malware è progettato per colpire banche online, wallet di criptovalute e piattaforme di pagamento in tutto il mondo, trasmettendo dati sensibili verso server remoti spesso senza alcuna cifratura.
Il Google Play Store, nonostante rappresenti il canale ufficiale e teoricamente più sicuro per il download di applicazioni Android, continua a essere un terreno fertile per la diffusione di malware. Negli ultimi mesi sono stati segnalati numerosi casi preoccupanti: cinque app contenenti i trojan Vultur e SharkBot hanno raggiunto oltre 130.000 download, mentre app che diffondevano il malware Clicker hanno avuto un impatto su oltre 20 milioni di dispositivi. A settembre 2025, sono state scoperte 75 app fraudolente su Google Play e 10 sull’App Store di Apple, scaricate complessivamente da 13 milioni di utenti, tutte coinvolte in frodi pubblicitarie e attività dannose. Come difendersi da queste minacce sempre più sofisticate? Innanzitutto, se avete installato una delle quattro app infette da HiddenAds, disinstallatela immediatamente e cambiate tutte le password dei vostri account sensibili, partendo da quelli bancari. Ma la prevenzione richiede un approccio più sistematico. Scaricate applicazioni esclusivamente da store ufficiali, ignorando link provenienti da messaggi non sollecitati, anche quando sembrano provenire da fonti affidabili.
Controllate attentamente i permessi richiesti dalle app: un’applicazione per il trasferimento di file Bluetooth non dovrebbe mai chiedere l’accesso ai servizi di accessibilità o la possibilità di sovrapporsi ad altre app. Aggiornate sempre il sistema operativo e le applicazioni alle versioni più recenti, perché gli aggiornamenti includono spesso patch di sicurezza critiche. Attivate Google Play Protect e considerate l’installazione di un antivirus affidabile e regolarmente aggiornato. Monitorate con attenzione il comportamento del vostro dispositivo: un consumo eccessivo di dati o batteria, la comparsa di pubblicità invasive, richieste di autorizzazioni non giustificate o rallentamenti anomali possono essere segnali di un’infezione in corso. In caso di comportamenti sospetti o schermate inusuali, contattate immediatamente il supporto tecnico o la vostra banca.
La collaborazione tra utenti, aziende di sicurezza e Google rimane cruciale per un’efficace difesa. Il colosso di Mountain View continua a implementare strumenti di sicurezza avanzati per identificare e rimuovere app dannose dal Play Store, ma la guerra contro il cybercrimine è una battaglia continua. I criminali si evolvono, i loro strumenti diventano più sofisticati, i modelli di business come il Malware-as-a-Service abbassano le barriere d’ingresso trasformando potenzialmente chiunque in un cybercriminale. La realtà è che il vostro smartphone non è solo un dispositivo per comunicare e intrattenersi: è un portafoglio digitale, un archivio di informazioni personali, una porta d’accesso alla vostra vita finanziaria. Proteggerlo non è più un’opzione, ma una necessità quotidiana in un mondo dove la minaccia può nascondersi dietro l’icona di un’innocua app per il Bluetooth.
