Gli esperti di sicurezza lo ripetono da mesi, ma ora l’allarme risuona con maggiore intensità. L’Europa sta affrontando una nuova ondata di malware Android caratterizzata da tecniche mature e da un coordinamento senza precedenti. Non si parla di un singolo trojan isolato, bensì di un insieme di campagne che sfruttano vulnerabilità dei pagamenti contactless e nuovi strumenti pensati per il controllo completo dei dispositivi.
Al centro troviamo gli attacchi NFC Relay, che manipolano i meccanismi dell’Host Card Emulation per autorizzare transazioni fraudolente. Il metodo permette ai criminali di approvare pagamenti come se avessero tra le mani il telefono della vittima. Non servono clonazioni fisiche e non servono credenziali rubate. Basta installare l’app sbagliata. I casi sono esplosi negli ultimi mesi con centinaia di applicazioni dannose e decine di server attivi dietro l’infrastruttura criminale. Molte app imitano servizi bancari o piattaforme di pagamento note, rendendo più difficile distinguere un contenuto legittimo da uno fraudolento. È uno scenario che mostra come la cybercriminalità mobile stia raggiungendo un livello quasi industriale. I gruppi responsabili sfruttano canali privati, bot automatizzati e store falsi per distribuire malware e gestire transazioni da remoto senza attirare l’attenzione.
Il malware Android Albiriox aggiunge il controllo totale del dispositivo e complica la difesa
Accanto agli attacchi NFC Relay emerge Albiriox, un trojan bancario identificato nel settembre 2025 e già venduto come servizio. La sua struttura colpisce per complessità. Il malware trasmette lo schermo del telefono in tempo reale e consente all’attaccante di eseguire qualunque operazione. L’abuso dei servizi di accessibilità permette di leggere informazioni sensibili, automatizzare tap e aggirare le protezioni più diffuse. Lo schermo diventa nero mentre l’aggressore compie operazioni bancarie invisibili all’utente. Moduli dedicati coprono centinaia di app finanziarie, e i pannelli di comando consentono attacchi mirati. Questo approccio aggira verifiche biometriche, OTP e autenticazioni a due fattori perché la frode avviene nel dispositivo della vittima.
Gli attacchi dimostrano che il mercato nero sta evolvendo a un ritmo impressionante. I criminali condividono tool, aggiornano varianti e coordinano campagne attraverso piattaforme chiuse. Gli utenti devono quindi adottare maggiore prudenza. È necessario evitare installazioni da link sospetti, controllare gli sviluppatori, verificare permessi e mantenere aggiornati sistema e app. L’uso di soluzioni anti malware affidabili resta una protezione importante. La crescita dei pagamenti contactless e la facilità con cui questi strumenti vengono distribuiti indicano una tendenza destinata a espandersi
