Il mobile malware è il malware progettato specificamente per dispositivi mobili — smartphone e tablet con Android o iOS. Sebbene condivida gli obiettivi generali del malware desktop (furto di credenziali, spionaggio, frode, estorsione), le caratteristiche specifiche dei dispositivi mobili — microfono e fotocamera sempre presenti, GPS, accesso a messaggi SMS e app di messaggistica cifrata, rubrica, dati bancari — lo rendono uno strumento di sorveglianza particolarmente potente. Il volume e la sofisticazione del mobile malware sono cresciuti drasticamente con la diffusione del mobile banking e dell’autenticazione SMS-based.
Categorie principali
Banking trojan: specializzati nel furto di credenziali per app bancarie e bypass dell’autenticazione a due fattori via SMS. Utilizzano tecniche di overlay attack — sovrappongono una schermata falsa identica all’app bancaria reale per catturare le credenziali — e intercettano gli SMS con OTP. Famiglie note: Anubis, Cerberus, SharkBot, Xenomorph. Distribuiti principalmente tramite sideloading e, occasionalmente, tramite dropper su Play Store.
Spyware / Stalkerware: registrano silenziosamente chiamate, messaggi, posizione GPS, fotografie. Lo stalkerware è la variante commerciale usata per sorveglianza di partner o familiari — si installa fisicamente sul dispositivo con accesso diretto, si nasconde dall’app drawer e invia i dati a un pannello web. Ha implicazioni legali significative in molte giurisdizioni.
Spyware di stato (commerciale): categoria distinta per sofisticazione e obiettivi. Pegasus (NSO Group), Predator (Cytrox/Intellexa), FinFisher. Sfruttano zero-click exploit su componenti del sistema operativo per installarsi senza alcuna interazione utente. Accedono a tutto — messaggi cifrati (Signal, WhatsApp), fotocamera, microfono, posizione. Venduti a governi come strumenti di law enforcement, documentati in uso contro giornalisti e dissidenti.
Adware: visualizzano pubblicità invasive, tracciano il comportamento di navigazione, generano click fraudolenti su annunci. La categoria più diffusa per volume — meno pericolosa ma economicamente significativa per i suoi operatori. Spesso distribuita tramite app di utilità gratuite.
Premium SMS fraud: abbonavano automaticamente la vittima a servizi a pagamento inviando SMS premium. Con l’evoluzione delle protezioni sui payment API di Android, questa categoria è in declino.
Dropper: app apparentemente legittime che, dopo l’installazione, scaricano il payload reale da server remoti. Tecnica usata per superare la revisione degli store (il dropper è pulito al momento della revisione; il payload malevolo viene scaricato successivamente).
Ransomware mobile: meno comune rispetto al desktop ma documentato. Su Android, tipicamente blocca lo schermo e chiede un riscatto per sbloccarlo (screen locker) piuttosto che cifrare i file, a causa delle restrizioni di accesso al filesystem. Casi di cifratura reale su dispositivi rooted.
Vettori di infezione
Sideloading: installazione di APK da fonti esterne al Play Store. Vettore principale per Android. iOS non permette il sideloading per utenti normali (con l’eccezione parziale introdotta nell’UE con il Digital Markets Act per iOS 17.4+).
Smishing: SMS con link a pagine di phishing che inducono il download di app malevole o il furto di credenziali.
Zero-click exploit: vulnerabilità sfruttabili senza alcuna interazione — basta ricevere un messaggio iMessage, un MMS o un file multimediale. Usati esclusivamente da spyware di alto valore per i costi elevati degli zero-day.
App store di terze parti: store alternativi non ufficiali, comuni in Cina e in regioni con accesso limitato al Play Store, con praticamente nessuna verifica delle app distribuite.
Indicatori di compromissione su mobile
- Consumo anomalo della batteria o del traffico dati in background
- Surriscaldamento del dispositivo a schermo spento
- App sconosciute nell’elenco delle applicazioni installate
- Permessi insoliti concessi ad app (es. app torcia con accesso a SMS)
- Comportamento anomalo durante le chiamate (eco, latenza insolita)
Il rilevamento è difficile perché il malware mobile sofisticato si nasconde attivamente e non lascia artefatti visibili all’utente.