GhostSpy è una nuova famiglia di malware Android che sta attirando l’attenzione dei ricercatori per il livello di controllo che riesce a ottenere sui dispositivi compromessi.
Secondo le analisi di CYFIRMA, non si limita a rubare credenziali come i trojan bancari tradizionali, ma trasforma lo smartphone in uno strumento completamente gestibile da remoto.
Il contesto non sorprende: Android, essendo il sistema operativo mobile più diffuso, resta il bersaglio principale delle campagne malevole. Negli ultimi anni gli attaccanti hanno perfezionato l’abuso di funzioni legittime del sistema, in particolare i servizi di accessibilità, progettati per assistere gli utenti ma sempre più sfruttati per aggirare le difese senza ricorrere a vulnerabilità complesse.
Come GhostSpy ottiene il controllo del tuo smartphone
Il funzionamento di GhostSpy ruota attorno all’abuso dell’Android Accessibility Service.
Il malware induce l’utente a concedere questo permesso con richieste che appaiono legittime, ma che in realtà aprono la porta a un controllo esteso del dispositivo. Una volta attivo, il codice malevolo può simulare tocchi, compilare moduli, interagire con le app e autorizzare ulteriori permessi senza che l’utente se ne accorga.
Questo consente agli attaccanti di operare come se avessero fisicamente in mano lo smartphone, senza bisogno di accesso root. In parallelo, GhostSpy integra funzionalità da Remote Access Trojan, permettendo il controllo in tempo reale tramite server di comando. Gli operatori possono visualizzare lo schermo, acquisire dati, monitorare notifiche e intercettare codici di autenticazione a due fattori, rendendo vulnerabili anche gli account protetti da sistemi avanzati di sicurezza.
Difese, diffusione e rischi concreti
GhostSpy si distingue anche per i meccanismi di autodifesa. Sfruttando ancora i permessi di accessibilità, il malware può impedire la disinstallazione chiudendo le schermate di rimozione o simulando azioni che bloccano l’utente.
A questo si aggiungono tecniche di offuscamento e controlli anti-analisi che complicano il lavoro dei ricercatori. La diffusione avviene principalmente tramite applicazioni fraudolente, file APK scaricati da fonti non ufficiali e pagine che imitano aggiornamenti legittimi.
Il fattore decisivo resta sempre il consenso dell’utente: senza l’autorizzazione ai servizi di accessibilità, molte funzioni non possono attivarsi. Per ridurre il rischio, è essenziale installare app solo da fonti affidabili, verificare con attenzione i permessi richiesti e controllare periodicamente le autorizzazioni concesse. Strumenti come Google Play Protect e, in ambito aziendale, soluzioni di Mobile Device Management aiutano a individuare e bloccare comportamenti sospetti prima che diventino critici.