C’è un momento, nel ciclo evolutivo del malware mobile, in cui qualcosa cambia davvero: non si tratta di un aggiornamento incrementale a uno strumento già noto, né dell’ennesima variante di un RAT (Remote Access Trojan) riciclato da repository underground. Oblivion è quel momento.

Si tratta di un nuovo malware per Android (per l’esattezza, un Software-as-a-Service per lo spionaggio digitale) che rappresenta un vero e proprio cambio di paradigma nelle minacce mobile grazie alla sua nuova architettura, a capacità inedite e a una distribuzione commerciale spregiudicata nel mondo underground del crimine informatico.

Emerso a fine febbraio 2026 e analizzato dai ricercatori di Certo Software, questo Remote Access Trojan per Android viene venduto apertamente su forum pubblici (quindi, non nel dark web ma in spazi accessibili a chiunque abbia un account) con un modello di pricing strutturato: 300 dollari al mese e fino a 2.200 dollari per la licenza d’uso a vita.

Il codice sorgente, però, non è venduto nel pacchetto di vendita e gli acquirenti non hanno neanche la possibilità di un suo fork: questo significa che l’infrastruttura del malware rimane nelle mani del venditore, che in questo modo mantiene il controllo pieno del prodotto.

Oblivion è quel momento in cui entriamo nella nuova normalità del cybercrime-as-a-commodity.

Cosa rende Oblivion diverso dagli altri RAT Android

Il mercato degli Android RAT è saturo. Ogni settimana sui forum underground compaiono nuovi strumenti, spesso rebrand di vecchi codici, spesso pieni di bug, spesso già rilevati dai principali antivirus.

Oblivion si distingue per una caratteristica che i ricercatori sottolineano con forza: è stato costruito da zero, testato per mesi prima della release pubblica, e progettato specificamente per eludere le difese delle versioni più recenti di Android.

Il target dichiarato copre da Android 8 fino ad Android 16 e questo significa, nella pratica, che la quasi totalità dei dispositivi attivi oggi sul mercato globale è potenzialmente a rischio compromissione: un dettaglio, non solo tecnico, che conferma una scelta strategica adottata per massimizzare la superficie d’attacco.

L’architettura tecnica: APK Builder, Dropper e permission bypass automatizzato

Più che un semplice payload, Oblivion è dunque un vero e proprio ecosistema criminale. Il pannello di controllo web mette a disposizione dell’attaccante due strumenti fondamentali:

• APK Builder: genera applicazioni malevole camuffate da app legittime. L’esempio più emblematico utilizzato nelle demo è “Google Services”, un nome di app che non desta sospetti né nell’utente né, spesso, nei sistemi di controllo aziendali. La personalizzazione è ampia: icona, nome del pacchetto, certificato.
• Dropper Builder: produce falsi popup di aggiornamento che invitano la vittima a installare l’app da “fonti sconosciute”. Il design imita fedelmente le notifiche di Google Play, con un livello di realismo che rende l’ingegneria sociale quasi automatica.

Ma la caratteristica davvero dirompente è il bypass automatizzato dei permessi. Normalmente, Android richiede all’utente di concedere esplicitamente permessi critici, in particolare l’accesso all’Accessibility Service che è il cuore di molte funzionalità di controllo remoto. Oblivion aggira questo passaggio senza interazione da parte della vittima, rendendo il processo di infezione invisibile e silenzioso.

I test condotti dai ricercatori di Certo dimostrano che questo bypass funziona su tutti i principali firmware Android: MIUI (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor), OxygenOS (OnePlus).

Su Android 15 e 16, addirittura, il malware riesce a silenziare completamente i dialog dei permessi, operando nell’ombra senza lasciare all’utente alcuna traccia visibile dell’accesso in corso.

Il trucco dello schermo “in manutenzione”: il cuore dello spionaggio

Una volta installato, Oblivion attiva una sessione di controllo remoto tramite VNC. Fin qui, nulla di nuovo. La novità è nell’Hidden VNC (HVNC): una sessione parallela, completamente invisibile all’utente, che consente all’attaccante di interagire con il dispositivo in tempo reale senza che la vittima percepisca nulla di anomalo.

Il meccanismo è raffinato: mentre sul display appare una schermata di “System updating…” – un overlay convincente che blocca l’attenzione dell’utente – l’attaccante sta navigando liberamente tra le app accedendo a e-mail, chat, app bancarie, portafogli crypto.

Questo significa che il dispositivo è sotto il pieno controllo da parte dell’attaccante, ma l’utente è convinto che stia semplicemente aspettando la fine di un aggiornamento di sistema.

Per le app che implementano protezioni contro la cattura dello schermo (tipiche delle app bancarie e delle piattaforme crypto), Oblivion ha una risposta: un modulo Screen Reader che estrae il contenuto direttamente dalla memoria, aggirando le flag di sicurezza che normalmente impediscono gli screenshot.

Il profilo di rischio: cosa raccoglie Oblivion

L’elenco delle funzionalità di raccolta dati è quello che ci si aspetta dal peggior scenario possibile per un utente mobile:

• SMS e codici 2FA;
• notifiche push da tutte le applicazioni;
• keylogging completo (tutto ciò che viene digitato);
• elenco delle app installate e relativi dati;
• file presenti sulla memoria del dispositivo;
• credenziali catturate per lo sblocco automatico del dispositivo.

A rendere la situazione ancora più critica, Oblivion implementa meccanismi anti-rimozione che impediscono all’utente di disinstallare l’app o di revocare i permessi concessi.

Infine, l’infrastruttura di comando e controllo è dimensionata per gestire oltre 1.000 sessioni attive contemporaneamente, ruotate attraverso reti anonimizzanti (tra cui Tor) per garantire la resilienza dell’operazione anche in caso di parziali takedown.

La democratizzazione dello spionaggio mobile

La scoperta di Oblivion consente di sottolineare un punto che, spesso, viene sottovalutato: il rischio cyber non viene solo dai threat actor sofisticati. Questo nuovo malware Android abbassa in modo drastico la soglia di competenza tecnica richiesta per condurre operazioni di spionaggio mobile avanzato.

Un attaccante che acquista una licenza mensile da 300 dollari non ha bisogno di saper sviluppare malware, né di conoscere le API di Android, né di avere esperienza con il reverse engineering. Ha bisogno solo di saper usare un pannello web e convincere qualcuno a installare una “app di aggiornamento”. Questo è il modello MaaS (Malware-as-a-Service) nella sua forma più matura: accessibile, scalabile, plausibilmente negabile.

Dunque, con Oblivion il profilo delle vittime potenziali si allarga enormemente perché le vittime non sono più solo dirigenti aziendali o obiettivi governativi, ma qualsiasi persona (tra cui, professionisti, dipendenti con accesso a dati sensibili, partner in una negoziazione e via dicendo) che possa diventare un vettore di informazioni utili.

Implicazioni per la gestione del rischio aziendale

Dal punto di vista della consulenza in cyber security e data protection, Oblivion solleva questioni concrete che le aziende devono affrontare oggi, non quando arriverà il primo incidente:

1. Il BYOD è una superficie d’attacco sottostimata. La stragrande maggioranza delle PMI italiane non ha ancora una policy strutturata sulla gestione dei dispositivi personali usati per accedere a risorse aziendali. Oblivion trasforma ogni smartphone non gestito in un potenziale endpoint compromesso, capace di esfiltrare email, documenti, credenziali di accesso a sistemi interni.
2. La doppia autenticazione (2FA) via SMS non è più sufficiente. Se Oblivion è in grado di intercettare in tempo reale i codici OTP inviati via SMS, le aziende che usano l’autenticazione a due fattori basata sul canale testuale come unico layer di sicurezza aggiuntivo devono rivedere la propria architettura di accesso. È il momento di valutare seriamente passkey, FIDO2 e autenticatori hardware.
3. L’awareness è la prima linea di difesa. Il vettore di infezione principale resta l’ingegneria sociale che consente all’attaccante di indurre le proprie vittime a cliccare su un falso popup di aggiornamento, un link convincente o un’app camuffata. Senza una cultura della sicurezza diffusa tra i dipendenti, nessuna tecnologia è sufficiente.

Come difendersi: indicazioni pratiche per utenti e aziende

Alla luce delle caratteristiche tecniche particolarmente avanzate e “innovative” del nuovo malware Oblivion per Android, ecco alcuni utili consigli pratici per aziende, professionisti e per i singoli utenti.

Oblivion, come difendersi: consigli per gli utenti

Pe mettere in sicurezza in nostri dispositivi Android personali, possiamo mettere in pratica i seguenti e utili consiglio pratici.

• Installiamo app esclusivamente dal Google Play Store ufficiale. Oblivion si propaga attraverso canali alternativi (sideloading) sfruttando la possibilità di installare da “fonti sconosciute”: disabilitare questa opzione nelle impostazioni di Android è il primo e più semplice presidio difensivo.
• Inoltre, è importante trattare sempre con la massima diffidenza qualsiasi popup che chieda di aggiornare il sistema o installare un’app al di fuori del normale flusso degli aggiornamenti. Gli aggiornamenti di sistema Android non passano mai attraverso popup generati da applicazioni di terze parti.
• Altrettanto utile è monitorare regolarmente le app con accesso all’Accessibility Service dal menu Impostazioni/Accessibilità/App installate): in questa sezione del sistema operativo Android troviamo la lista degli app con i privilegi più elevati sul vostro dispositivo. Qualsiasi new entry non riconoscibile va rimossa immediatamente.
• Il passaggio successivo è mantenere il sistema operativo aggiornato: anche se Oblivion dichiara compatibilità fino ad Android 16, Google rilascia patch di sicurezza mensili che possono neutralizzare vettori d’attacco specifici.
• Infine, è utile valutare l’adozione di una soluzione di Mobile Threat Defense (MTD), oggi disponibile anche in versioni consumer accessibili, in grado di rilevare comportamenti anomali a livello di processo.

Oblivion, come difendersi: consigli per le aziende

Dal canto loro, per difendersi dalla minaccia rappresentata dal nuovo malware Oblivion, le aziende possono valutare l’utilità di applicare le seguenti misure di sicurezza:

1. Implementare una soluzione MDM/UEM (Mobile Device Management / Unified Endpoint Management) per gestire e monitorare i dispositivi mobili che accedono a risorse aziendali, con policy che vietino l’installazione da fonti non verificate e impongano aggiornamenti regolari.
2. Rivedere le policy di accesso remoto: l’accesso VPN o a sistemi interni da dispositivi mobili non gestiti deve essere subordinato a verifica dello stato di sicurezza del dispositivo (posture check).
3. Integrare nei propri programmi di security awareness sessioni specifiche sul mobile threat landscape: phishing mobile, smishing, falsi aggiornamenti. I dati mostrano che il canale mobile è sempre più usato per i vettori iniziali degli attacchi.
4. Valutare la migrazione dell’autenticazione critica verso standard FIDO2/WebAuthn, eliminando o riducendo la dipendenza da OTP via SMS per accessi ad alto rischio.
5. Verificare che i vostri contratti con fornitori e partner includano requisiti di sicurezza dei dispositivi mobili: la supply chain di un attacco che sfrutta Oblivion può partire da un fornitore esterno con accesso alle vostre email o ai vostri sistemi.

Oblivion è un segnale, non un’anomalia

Ogni volta che emerge uno strumento come Oblivion, la tentazione è di trattarlo come un evento eccezionale: nuova minaccia, nuova patch, tutto risolto. La realtà è più scomoda.

Oblivion è la fotografia di un trend strutturale su quella che è la professionalizzazione del cybercrime mobile, la sua trasformazione in servizio commerciale accessibile, la progressiva erosione delle difese di sistema da parte di strumenti costruiti appositamente per aggirarle.

La risposta non può essere solo tecnologica. Deve essere sistemica: governance dei dispositivi, cultura della sicurezza, architetture di accesso resilenti e, soprattutto, la consapevolezza che ogni smartphone connesso a risorse aziendali è un endpoint a tutti gli effetti e come tale va trattato.