Η ασφάλεια των κινητών συσκευών εισέρχεται σε μια νέα, πιο επικίνδυνη φάση, καθώς οι κυβερνοεγκληματίες στρέφονται ολοένα και πιο επιθετικά προς τα smartphones. Σύμφωνα με την έκθεση «Mobile malware evolution» της Kaspersky, οι επιθέσεις Trojan banker σε smartphones Android αυξήθηκαν κατά 56% το 2025 σε σύγκριση με το προηγούμενο έτος, καταγράφοντας μία από τις πιο έντονες κλιμακώσεις κακόβουλης δραστηριότητας στον χώρο της κινητής ασφάλειας.

Εκρηκτική αύξηση των επιθέσεων Trojan banker σε smartphones: Άλμα 56% στις επιθέσεις και 271% στα κακόβουλα αρχεία εγκατάστασης

Τα Trojan banker αποτελούν μια ιδιαίτερα επικίνδυνη κατηγορία κακόβουλου λογισμικού, καθώς έχουν σχεδιαστεί για να κλέβουν κρίσιμα οικονομικά δεδομένα χρηστών. Στόχος τους είναι τα διαπιστευτήρια πρόσβασης σε online τραπεζικές υπηρεσίες, υπηρεσίες ηλεκτρονικών πληρωμών και συστήματα πιστωτικών καρτών.

Με τον τρόπο αυτό, οι επιτιθέμενοι αποκτούν πρόσβαση σε ευαίσθητες πληροφορίες και σε οικονομικούς λογαριασμούς, μετατρέποντας τις κινητές συσκευές σε βασικό πεδίο δράσης του κυβερνοεγκλήματος. Η εκρηκτική αύξηση των επιθέσεων συνοδεύτηκε και από σημαντική άνοδο στην παραγωγή κακόβουλων αρχείων εγκατάστασης.

Το 2025 εντοπίστηκαν 255.090 νέα μοναδικά αρχεία APK, που περιείχαν Trojan banker για Android, αριθμός αυξημένος κατά 271% σε σχέση με το 2024. Η αύξηση αυτή αποτελεί σαφή ένδειξη ότι η συγκεκριμένη μορφή επίθεσης αποφέρει σημαντικά οικονομικά οφέλη στους δράστες, οι οποίοι επενδύουν όλο και περισσότερο στη δημιουργία νέων παραλλαγών κακόβουλου λογισμικού.

Εφαρμογές ανταλλαγής μηνυμάτων

Οι κυβερνοεγκληματίες αξιοποιούν, κυρίως, εφαρμογές ανταλλαγής μηνυμάτων και κακόβουλες ιστοσελίδες για τη διάδοση των Trojan banker. Μέσω αυτών των καναλιών διανομής καταφέρνουν να εξαπατούν τους χρήστες, ώστε να εγκαθιστούν εφαρμογές που φαίνονται νόμιμες, αλλά στην πραγματικότητα λειτουργούν ως δούρειος ίππος. Μεταξύ των Trojan banker, που εντοπίστηκαν συχνότερα το 2025, ξεχωρίζουν οι παραλλαγές Mamont και Creduz, οι οποίες κυριάρχησαν στο οικοσύστημα του mobile malware.

Την ίδια στιγμή, οι ειδικοί της Kaspersky εντοπίζουν μια ακόμη ανησυχητική εξέλιξη: την αύξηση των προεγκατεστημένων backdoors σε συσκευές Android. Πρόκειται για κακόβουλα προγράμματα που βρίσκονται ήδη ενσωματωμένα στο firmware των συσκευών κατά τη στιγμή της αγοράς τους. Μεταξύ αυτών ξεχωρίζουν τα Triada και Keenadu, τα οποία εμφανίστηκαν συχνότερα το τελευταίο διάστημα.

Όπως επισημαίνει η Kaspersky, τα προεγκατεστημένα backdoors δημιουργούν ένα ιδιαίτερα επικίνδυνο σενάριο για τους χρήστες. Οι καταναλωτές ενδέχεται να αγοράσουν μια ολοκαίνουργια συσκευή Android που, όμως, είναι ήδη παραβιασμένη, χωρίς να το γνωρίζουν.

Εφόσον το κακόβουλο λογισμικό έχει ενσωματωθεί στο firmware, μπορεί να παρέχει στους επιτιθέμενους σχεδόν απεριόριστο έλεγχο πάνω στο smartphone ή το tablet του θύματος. Σε μια τέτοια περίπτωση, τα δεδομένα, που βρίσκονται στη συσκευή, ενδέχεται να τεθούν σε σοβαρό κίνδυνο, ενώ η αφαίρεση του κακόβουλου λογισμικού καθίσταται ιδιαίτερα δύσκολη.

Ανά γεωγραφική περιοχή

Στη Γερμανία εντοπίστηκε δραστηριότητα του Trojan-Proxy.AndroidOS.Agent.q, το οποίο ήταν ενσωματωμένο σε ανεπίσημη εφαρμογή, που μιμούνταν διαδικτυακή υπηρεσία εξεύρεσης προσφορών για τοπική αλυσίδα σουπερμάρκετ. Η συγκεκριμένη τακτική δείχνει ότι οι επιτιθέμενοι αξιοποιούν συχνά εφαρμογές, που συνδέονται με καθημερινές καταναλωτικές δραστηριότητες, για να εξαπατήσουν τους χρήστες.

Στην Τουρκία, οι χρήστες βρέθηκαν αντιμέτωποι με το Coper Trojan banker και το Hqwar Trojan dropper. Το Coper έχει σχεδιαστεί για να κλέβει ευαίσθητες οικονομικές και προσωπικές πληροφορίες, ενισχύοντας τον στόχο των επιτιθέμενων να αποκτήσουν πρόσβαση σε τραπεζικά δεδομένα και στοιχεία ταυτότητας.

Στην Ινδία καταγράφηκε εξάπλωση των Rewardsteal Trojans, τα οποία στοχεύουν, επίσης, στην κλοπή οικονομικών δεδομένων. Παράλληλα, το Thamera Trojan επανεμφανίστηκε μετά από ένα σύντομο διάλειμμα, επιβεβαιώνοντας ότι πολλές απειλές επανέρχονται με νέες μορφές, όταν οι συνθήκες το επιτρέπουν.

Στη Βραζιλία, ιδιαίτερα διαδεδομένα ήταν τα Trojan droppers με την ονομασία Pylcasa. Όταν ενεργοποιούνται, αυτά τα κακόβουλα προγράμματα ανοίγουν διευθύνσεις URL, που έχουν δημιουργήσει οι δράστες, οδηγώντας συχνά τους χρήστες είτε σε παράνομους ιστότοπους καζίνο, είτε σε σελίδες ηλεκτρονικού «ψαρέματος», που επιχειρούν να αποσπάσουν προσωπικά στοιχεία.