LEGALAUDIT
Cyber Coach

Mobile

App banca false, APK trojan e profili MDM

L'SMS dice 'aggiorna l'app per continuare'. Il link installa un APK fuori dal Play Store, o un profilo .mobileconfig su iPhone.

10 min di letturaAvanzato

Indicatori da riconoscere

  • SMS o WhatsApp che chiede di installare un'app fuori dallo store ufficiale
  • Su Android: APK con permessi su SMS, accessibilita, overlay, accessibility services
  • Icone di app banca con nomi simili ma sviluppatore sconosciuto
  • Su iOS: richiesta di installare un profilo MDM o .mobileconfig 'aziendale'
  • Browser che redirige a 'cdn.<banca>-app.apk.zip'
  • Permessi richiesti molto più ampi del necessario (SMS, contatti, microfono per una banca?)
  • App che chiede di disabilitare Play Protect o Lookout

Cosa fare subito

  • Installa app banca solo dallo store ufficiale verificando lo sviluppatore
  • Disattiva 'origini sconosciute' su Android (Sviluppatore -> sorgenti non sicure)
  • Non installare mai profili MDM su iPhone richiesti da estranei
  • Se l'APK è stato installato: modalità aereo, backup, factory reset, ripristino selettivo
  • Cambia tutte le password e revoca sessioni attive da un dispositivo pulito
  • Verifica le accessibility services attive: i trojan banking si nascondono spesso li
  • Su iOS controlla Impostazioni -> Generali -> VPN e gestione dispositivi

Caso reale

Trojan Anatsa via SMS Poste, Italia 2025

Una campagna su scala nazionale invia SMS 'Poste Italiane: la tua app non è aggiornata, scaricala ora' con link a poste-update.tk. Il link installa Anatsa, un banking trojan Android che si maschera da app PDF reader durante l'installazione iniziale.

Una volta installato, Anatsa richiede accessibility services per 'leggere PDF'. Dopo 48 ore inietta overlay falsi sull'app banca legittima quando l'utente la apre, ruba credenziali e OTP in tempo reale. Una commercialista padovana ha perso 14.500 EUR in tre transazioni notturne.

Mythos ha analizzato l'APK: certificato di firma riconducibile a un cluster Anatsa noto, manifest con permessi di accessibility e overlay, hash del binario in feed di threat intelligence. Il dossier ha collegato la vittima a una campagna più ampia con oltre 4.200 device infetti in Italia.

Cosa può fare Mythos su questo caso

  • Analisi statica dell'APK: manifest, permessi, certificato di firma, hash
  • Confronto del binario con feed di threat intelligence (banking trojan noti)
  • Verifica dei profili .mobileconfig per iOS: payload, CA, MDM endpoint
  • Estrazione delle stringhe e degli endpoint C2 dal binario
  • Dossier tecnico per denuncia e supporto al ripristino del dispositivo

Passi successivi

Analizza l'app con MythosParla con Mythos