Siamo nel 2025. Gli smartphone sono ormai il portafoglio, la cassaforte, la scrivania, il consulente finanziario, l’assistente personale e, per molti, anche l’amico intimo. Ci viviamo dentro, eppure ancora ci ostiniamo a trattarli come se fossero dispositivi “accessori”.
Perché sì, diciamocelo senza troppi giri di parole: c’è una percezione diffusa, e sbagliata, secondo cui lo smartphone sarebbe intrinsecamente più sicuro di un PC.
Il problema? I criminali informatici questa percezione la conoscono benissimo. E se ne stanno approfittando senza pietà.
Indice degli argomenti
Quando la realtà bussa forte alla porta (digitale)
Secondo il nuovo report di Kaspersky “IT Threat Evolution in Q1 2025: Mobile Statistics”, il primo trimestre di quest’anno ha registrato una vera impennata degli attacchi Android: oltre 180.000 nuovi campioni di malware identificati (+27% rispetto al trimestre precedente) e più di 12 milioni di utenti colpiti (+36%).
Numeri da brivido, se si considera che non stiamo parlando di attacchi a sistemi legacy o server in disuso, ma a dispositivi attivi, quotidianamente utilizzati per operazioni bancarie, autenticazioni a due fattori e gestione documentale.
Insomma: è come se qualcuno stesse cercando di scassinare il caveau… mentre noi lo portiamo a spasso in tasca senza nemmeno una serratura.
Android sotto attacco (ma l’iPhone non è un castello incantato)
Partiamo da Android, bersaglio principale degli attacchi. Perché? Perché è il sistema operativo più diffuso al mondo, perché ha un ecosistema più aperto (e quindi più vulnerabile), e perché – spiace dirlo – l’utente medio Android è ancora troppo poco preparato a riconoscere una minaccia quando la vede.
Tra i protagonisti del crimine digitale troviamo il solito Mamont, trojan bancario travestito da app legittima, progettato per sottrarre credenziali, SMS e dati sensibili. Ma anche Triada, una backdoor talmente sofisticata da essere preinstallata su smartphone contraffatti prima ancora che raggiungano gli scaffali. Cioè: i dispositivi arrivano già infetti, manco fossero cassette di arance con dentro la cocaina.
E no, non è un’esagerazione.
Triada è in grado di:
- modificare gli indirizzi dei portafogli crypto durante i trasferimenti;
- sostituire i link nei browser;
- inviare SMS anonimi;
- intercettare risposte a messaggi sensibili;
- rubare credenziali di app di messaggistica e social network.
Praticamente un impianto industriale del furto digitale, impiantato nel telefono prima ancora che lo accendiamo.
Turchia, India… e Italia che aspetta
Kaspersky segnala un’attenzione particolare verso Paesi come Turchia e India, che stanno diventando veri e propri laboratori di sperimentazione per i nuovi malware mobili.
In Turchia, un trojan bancario si finge app per lo streaming gratuito di film e serie TV. Il giochino è semplice: l’app chiede l’abilitazione dei permessi di amministratore e accessibilità, e da lì il gioco è fatto. Il dispositivo è nelle mani dell’aggressore.
In India, invece, abbiamo visto agire minacce come RewardSteal e UdangaSteal, travestite da applicazioni per “regalare denaro” o premi. Una forma di social engineering che fa leva sul bisogno e sulla credulità, non diversamente da ciò che vediamo in alcuni contesti italiani.
E mentre queste minacce si diffondono a macchia d’olio, da noi cosa si fa? Si delega tutto “al reparto IT”, oppure ci si affida alla proverbiale sicurezza del marchio: “Ma è un Samsung, non può succedere!” oppure “Ho preso un Xiaomi nuovo, funziona benissimo”.
Certo, ma se dentro c’è una backdoor cinese che trasmette i tuoi dati in automatico al primo hacker freelance di passaggio, funziona bene per lui, non per te.
App store ufficiali: sicurezza percepita o marketing?
Uno dei più grandi fraintendimenti riguarda gli store ufficiali. Troppo spesso sento dire: “Se l’ho scaricata da Google Play o App Store, sarà sicura”.
Sì, certo. Peccato che SparkCat, un malware capace di registrare screenshot e inviarli a un server remoto, sia stato rilevato su oltre 20 app ufficiali distribuite proprio attraverso gli store di Google e Apple.
Quindi no: l’essere su un canale ufficiale non garantisce automaticamente l’affidabilità.
Anzi, la sofisticazione degli attacchi sta diventando tale che persino le piattaforme più strutturate fanno fatica a filtrare le minacce in tempo utile.
La fiducia cieca è il tallone d’Achille della sicurezza moderna.
Cosa fare, concretamente?
Kaspersky offre una serie di consigli basilari, ma – aggiungo io – tutt’altro che scontati:
- scaricare app solo da store ufficiali, ma con occhio critico (recensioni, sviluppatori, permessi richiesti);
- installare una suite di sicurezza mobile seria, non la prima app “antivirus free” che spunta con pubblicità animate da cartone animato;
- controllare le autorizzazioni con attenzione, soprattutto quelle legate ai servizi di accessibilità, SMS, microfono e fotocamera;
- aggiornare sempre, sia il sistema operativo che le app. Le patch servono a chiudere porte. Lasciarle aperte è da sprovveduti.
Ma soprattutto – e qui parlo da chi si occupa di cyber security tutti i giorni – serve educazione digitale. Serve formare le persone. Serve creare cultura.
Perché un utente consapevole è molto più difficile da ingannare di un’app aggiornata.
Il nemico è nel palmo della mano. E noi lo coccoliamo
Se i dati ci dicono che gli attacchi aumentano del 36%, ma le persone continuano a credere che “tanto è un telefono”, allora abbiamo un problema culturale, non solo tecnologico.
Gli smartphone sono il nuovo campo di battaglia della cyber security. Ma in molti ancora non se ne sono accorti. Oppure fanno finta di niente.
E allora diciamolo chiaramente: chi non protegge il proprio telefono oggi, è come chi nel Far West lasciava la porta di casa aperta sperando nella buona fede dei fuorilegge.
La differenza è che ora i fuorilegge usano Java e Python e non bussano mai.
