Mobile, Notizie

I criminali noleggiano telefoni virtuali per aggirare i sistemi di sicurezza delle banche

di Pieter Arntz | 27, 2026 marzo
telefono cloud con una maschera

I ricercatori di Group-IB mettono in guardia dal fatto che i criminali utilizzano Android virtuali per aggirare le moderne soluzioni di sicurezza.

I telefoni cloud sono Android virtuali in grado di riprodurre fedelmente le caratteristiche tecniche dei dispositivi reali (modello, hardware, indirizzo IP, fuso orario, dati dei sensori, comportamento). Ciò consente loro di eludere i sistemi di rilevamento delle frodi basati sui dispositivi utilizzati dalle banche.

Inizialmente, le "phone farm" erano costituite da dispositivi fisici e venivano allestite a scopo di test. Il loro numero è aumentato quando le aziende hanno scoperto di poter noleggiare telefoni virtuali e aumentare artificialmente le statistiche di coinvolgimento, come il numero di follower, i "mi piace", le condivisioni e così via. L'ulteriore crescita è stata determinata dal passaggio dall'infrastruttura delle "phone farm" fisiche a quella dei telefoni nel cloud.

A un certo punto, i criminali informatici hanno capito come sfruttare questi «telefoni a noleggio» per indurre le persone a fornire loro l'accesso ai propri conti bancari e ai propri portafogli di criptovalute, che venivano poi svuotati.

Le banche hanno capito queste tattiche e hanno iniziato a sviluppare app mobili che si basano sul fingerprinting dei dispositivi. Questo le ha aiutate a individuare e bloccare i dispositivi falsi che subentravano nei conti degli utenti.

Ma, come in ogni corsa agli armamenti, anche in questo caso i criminali hanno trovato un modo per aggirare l'ostacolo. Ora «pre-riscaldano» i dispositivi installando app bancarie, registrando le credenziali ed effettuando piccole transazioni, in modo che i conti e i dati di monitoraggio del dispositivo appaiano a basso rischio.

I ricercatori osservano che:

«Sono passati ai telefoni cloud, ovvero Android con accesso remoto gestiti nei data center. A tutti gli effetti, si tratta di veri e propri telefoni, dotati di firmware originale, che mostrano un comportamento naturale dei sensori e presentano un’autenticazione hardware valida.»

E per i criminali non si tratta di un investimento ingente. Le principali piattaforme di telefonia cloud offrono il noleggio di dispositivi a tariffe che vanno da 0,10 a 0,50 dollari l'ora, rendendo l'infrastruttura necessaria per le frodi accessibile praticamente a chiunque.

Uno dei contesti in cui questi dispositivi vengono utilizzati è quello dei giochi per dispositivi mobili con economie basate sul denaro reale. Questi giochi devono affrontare da tempo un problema specifico: l’accumulo automatizzato di valuta e risorse di gioco tramite bot. In molti casi, gli account automatizzati sono in grado di generare oggetti di gioco che hanno un valore reale.

Le banche devono affrontare un problema diverso: gli attacchi di tipo "account takeover" (ATO). Con il passaggio dei servizi bancari dai browser web alle app mobili, è diventato necessario disporre di metodi più affidabili e completi per identificare i dispositivi autorizzati. Molte banche ora associano i conti a dispositivi specifici e segnalano i bonifici che non provengono da quel dispositivo.

L'inizio di un attacco è sempre una questione di ingegneria sociale. I criminali cercano di indurre gli utenti a rivelare le password monouso (OTP), ad approvare un accesso o a effettuare un bonifico «verso un conto sicuro».

Dietro le quinte, il criminale accede a un'istanza di telefono cloud che alla banca della vittima appare già come il dispositivo di quest'ultima, grazie a impronte digitali corrispondenti o plausibili e a un comportamento preconfigurato.

Una volta entrati nel sistema, i criminali effettuano trasferimenti tramite pagamenti push autorizzati (APP) (spesso verso conti di prestanome ), che i sistemi bancari potrebbero considerare a basso rischio poiché nulla nel dispositivo sembra palesemente sospetto.

A quel punto i criminali possono iniziare a svuotare il tuo conto o vendere i telefoni virtuali ad altri criminali. Secondo i ricercatori:

«Sui mercati del darknet si scambiano attivamente account dropper pre-verificati creati su telefoni cloud; gli account Revolut e Wise hanno un prezzo compreso tra i 50 e i 200 dollari ciascuno e spesso includono l'accesso continuativo all'istanza del telefono cloud.»

Come stare al sicuro

I ricercatori di Group-IB consigliano agli utenti finali di:

  • Non effettuare mai procedure di verifica dell'account seguendo le istruzioni di terzi. Tieni presente che le banche e le istituzioni governative non chiedono mai ai clienti di autenticare i propri conti tramite app sconosciute o ambienti remoti.
  • Attiva le funzioni di sicurezza integrate nel dispositivo. Utilizza app ufficiali di mobile banking, l'autenticazione biometrica e impostazioni di sicurezza rigorose a livello di dispositivo.
  • Diffidate delle proposte di “guadagni facili” che coinvolgono conti bancari. Offerte di lavoro fasulle che richiedono di “verificare” conti bancari, funzionari pubblici che chiedono la verifica dei conti, rappresentanti bancari che vi chiedono di trasferire denaro su conti “sicuri”.
  • Se sospetti di essere stato vittima di un attacco, contatta immediatamente la tua banca. Aggiorna le password e attiva l'autenticazione a più fattori su tutti gli account.

Vorremmo aggiungere:

  • Attiva, ove possibile, gli avvisi bancari relativi agli accessi, alle modifiche dei beneficiari e alle transazioni, in modo da poter individuare immediatamente eventuali attività insolite.
  • Utilizza una soluzione anti-malware aggiornata e in tempo reale per il tuo dispositivo Android, in modo da individuare e bloccare i programmi che rubano informazioni.
  • Se hai dei dubbi su un messaggio, consulta Malwarebytes Guard. Ti aiuterà a capire se si tratta di una truffa e ti indicherà come comportarti.

Non ci limitiamo a fornire informazioni sulla sicurezza del telefono, ma le forniamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi mobili scaricando oggi stesso Malwarebytes per iOS e Malwarebytes per Android.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Una versione trojanizzata di Avast diffonde Venom Stealer

Il sito web fasullo di Avast simula una scansione antivirus, ma installa invece Venom Stealer

Marzo 27, 2026

Una falsa scansione di Avast ti avvisa che il tuo PC è infetto, per poi installare un malware che ruba password, dati di sessione e portafogli di criptovalute.

Notizie
Logo Apple su sfondo a catena

Infiniti Stealer: un nuovo programma di furto di dati per macOS che utilizza ClickFix e Python/Nuitka

Marzo 26, 2026

Un nuovo programma di furto di informazioni per macOS, NukeChain (ora denominato Infiniti Stealer), utilizza pagine CAPTCHA fasulle per indurre gli utenti a eseguire comandi dannosi.

Notizie
GlassWorm identificato

L'attacco GlassWorm installa una falsa estensione del browser a scopo di sorveglianza

Marzo 26, 2026

Si nasconde all'interno degli strumenti di sviluppo, quindi monitora l'attività e ruba i dati, trasformando una singola infezione in un rischio più ampio lungo tutta la catena di approvvigionamento.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe