Team MailSniper
Autore
Marco Ferraro, responsabile IT di un'azienda metalmeccanica fuori Milano, quel lunedì mattina di marzo aveva una lista di cose da fare più lunga del solito. Doveva finire il report per il CDA, controllare le nuove credenziali VPN e, soprattutto, rispondere alla mail del commerciale che lavorava da remoto.
Quella mail conteneva un APK. "Guarda questo preventivo che ti ho inviato dal cellulare", c'era scritto. Marco non ci pensò due volte. Era il commerciale, lo conosceva da anni. Scaricò il file, lo aprì sul suo Android aziendale per verificare che fosse tutto a posto.
Tre giorni dopo, l'IT security del gruppo lo chiamò. I log mostravano centinaia di contatti rubati dalla rubrica, messaggi WhatsApp esfiltrati, screenshot delle email aziendali inviate ogni ora a un server in Moldavia. Marco non aveva idea di cosa fosse successo. Aveva solo cliccato su un file.
Non era stato il commerciale a mandare quella mail. Era BTMOB.
Quello che è successo a Marco non è un caso isolato. In Italia, gli attacchi mirati ai dispositivi Android sono cresciuti del 340% negli ultimi due anni, secondo le rilevazioni del CERT Nazionale. Ma la novità non è il trojan in sé — quelli esistono da tempo.
La novità è come si compra.
BTMOB è un RAT, Remote Access Trojan, pensato per Android. Ma non è un malware costruito da un gruppo di hacker in un garage. È un prodotto in vendita nel dark web, con tanto di manuale, supporto clienti e aggiornamenti periodici. Il modello si chiama Malware-as-a-Service, e sta trasformando il cybercrime da competenza tecnica a servizio commerciale.
Il report di Cybersecurity360 ha identificato BTMOB come un kit completo. Include un builder APK integrato, cioè la possibilità di generare versioni personalizzate del trojan senza saper scrivere una riga di codice. Scegli il nome dell'app, carichi l'icona, configuri il server di comando e controllo. Il resto lo fa il software.
Il costo? Alcune centinaia di euro al mese, a seconda delle funzionalità. Come abbonarsi a Netflix, ma per rubare dati bancari.
Il meccanismo è semplice, e proprio per questo pericoloso.
Il kit BTMOB permette a chiunque di creare un APK malevolo. L'attaccante sceglie un'esca: un finto documento PDF, un aggiornamento flash, un videogioco, una finta notifica bancaria. Carica l'APK builder sul server di comando e ottiene un file APK pronto da distribuire.
La distribuzione avviene via email, SMS, WhatsApp, o tramite siti contraffatti. Nel caso analizzato dai ricercatori, l'esca era proprio un finto documento aziendale. L'applicazione chiede permessi insospettabili durante l'installazione — accesso ai contatti, ai messaggi, al microfono, alla fotocamera — ma li maschera dietro richieste apparentemente legittime.
Una volta installato, il trojan rimane silente. Non mostra icone nella home screen. Non genera notifiche. Si limita a registrare tutto.
Ecco cosa fa BTMOB:
Tutto viene inviato a un server di comando e controllo gestito dall'attaccante. Il titolare del dispositivo non sa nulla. Il trojan consuma pochissime risorse, quindi la batteria non si scarica più del solito.
Il modello a kit è la parte più critica. Significa che non servono competenze tecniche avanzate per lanciare un attacco. Serve solo un po' di social engineering e un pagamento in criptovaluta.
Per Marco Ferraro, le conseguenze sono state immediate e dolorose.
Il suo telefono aziendale conteneva le credenziali VPN dell'intera rete corporate. In tre giorni, gli attaccanti avevano mapizzato la struttura organizzativa, identificato i responsabili finanziari e preparato una seconda ondata di attacchi mirati via email.
Il danno economico diretto? Circa 180.000 euro. Non per il furto in sé, ma per la bonifica, le ore di IT spese a ricostruire la rete, il fermo operativo di due settimane, le sanzioni per il mancato rispetto delle procedure di sicurezza.
Poi c'è il danno reputazionale. Un cliente importante chiese garanzie scritte sulla sicurezza dei dati prima di rinnovare il contratto. Il direttore commerciale perse una trattativa da 400.000 euro.
Ma il dato più preoccupante è un altro. Marco non era un novellino. Era un IT manager con vent'anni di esperienza. Aveva seguito corsi di sicurezza, sapeva cosa fosse il phishing. Ma quell'APK non sembrava un link sospetto. Era un file che gli aveva mandato un collega, da un indirizzo email che conosceva.
Il problema non era la sua superficialità. Era che gli strumenti tradizionali non funzionavano più.
La prima regola è semplice: mai installare APK fuori dal Play Store. Mai. Su Android, il sistema permette l'installazione da fonti sconosciute, ma questo è esattamente il vettore che BTMOB sfrutta.
La seconda regola è controllare i permessi. Quando un'app chiede accesso ai messaggi, ai contatti, al microfono senza un motivo evidente, qualcosa non va. Una calcolatrice non deve leggere i tuoi SMS. Un gioco non deve attivare il GPS.
Ma qui emerge il vero problema: gli attacchi moderni non si fermano con la formazione. Marco era preparato. Il problema era che l'attacco era troppo sofisticato per essere riconosciuto.
Serve una difesa a più livelli. Un antispam avanzato come MailSniper può intercettare le email contenenti APK malevoli prima che arrivino nella casella, analizzando il comportamento del file in sandbox e verificando la reputazione del mittente. Poi serve un Mobile Device Management che impedisca l'installazione di app da fonti sconosciute. E serve un monitoraggio delle anomalie sui dispositivi aziendali, perché il trojan agisce dopo l'installazione.
Nessuna soluzione da sola è sufficiente. Ma senza un antispam che analizzi gli allegati in tempo reale, il primo livello di difesa è già stato bucato.
BTMOB non è un'eccezione. È un assaggio.
Il modello Malware-as-a-Service sta abbattendo le barriere d'ingresso nel cybercrime. Non servono più programmatori esperti per creare un trojan. Serve una carta di credito e un po' di pazienza con Tor.
Per le aziende italiane, questo significa una cosa sola: gli attacchi non arriveranno più solo dai gruppi APT russi o cinesi. Arriveranno anche dal ragazzino del liceo che ha trovato il kit su un forum.
La difesa non è più una scelta. È un obbligo.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl GDPR impone obblighi specifici sulla sicurezza delle comunicazioni email. Ecco cosa devono sapere le aziende italiane per essere conformi e protette.
LeggiIl social engineering ha aggirato l'autenticazione a due fattori di Odido, esponendo milioni di clienti. Un caso che insegna alle PMI italiane quanto vale davvero il fattore umano nella sicurezza aziendale.
LeggiRimborsi falsi, cartelle esattoriali urgenti, PEC compromesse: le truffe via email che sfruttano il nome dell'Agenzia delle Entrate sono sempre piu' sofisticate. Ecco i 5 tipi piu' comuni nel 2026, i 7 segnali per riconoscerle e cosa fare per proteggerti.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.