Immagina di scaricare un'app apparentemente innocua — un gestore di chiamate, un assistente vocale, persino uno strumento di produttività — e scoprire settimane dopo che stava trasmettendo in tempo reale le tue conversazioni, i tuoi codici bancari e la tua posizione GPS a server situati in giurisdizioni opache. Non è fantascienza: è esattamente quello che sta facendo CallPhantom, la minaccia informatica più discussa del 2026 nel mondo Android, che ha già colpito oltre 2,4 milioni di dispositivi nel mondo secondo le stime preliminari di Kaspersky Lab aggiornate ad aprile 2026.

Il motivo per cui questo caso è diverso da tutti i precedenti? L'uso sofisticato dell'intelligenza artificiale a livello di evasione. CallPhantom non è semplicemente uno spyware: è un software modulare dotato di un motore AI integrato capace di analizzare il comportamento dell'utente per ridurre al minimo l'impronta sul sistema, adattarsi ai controlli di sicurezza di Google Play Protect e persino simulare pattern di utilizzo "pulito" durante le scansioni automatiche. Un cambio di paradigma che rende obsolete molte delle difese tradizionali.

In questo articolo troverai un'analisi approfondita di come funziona CallPhantom a livello tecnico, quali smartphone risultano più vulnerabili, come riconoscere i segnali di un'infezione in corso e — soprattutto — una guida pratica passo dopo passo per proteggere il tuo dispositivo Android oggi stesso. Dati reali, confronti con minacce precedenti e consigli applicabili immediatamente: tutto quello che serve per non diventare la prossima vittima.

Cosa troverai in questo articolo

  • Come funziona CallPhantom e perché l'AI lo rende così pericoloso
  • Quali app e canali di distribuzione sono stati compromessi
  • Guida pratica in 7 passi per proteggere il tuo smartphone Android
  • Errori comuni che rendono i dispositivi vulnerabili
  • I trend futuri del malware AI-driven e cosa aspettarsi nel 2026-2027

Come funziona CallPhantom: l'AI al servizio dello spionaggio

CallPhantom è tecnicamente classificato come uno stalkerware/spyware di seconda generazione, ma questa definizione rischia di sminuirne la complessità. La campagna è stata identificata per la prima volta a gennaio 2026 dai ricercatori di Threat Intelligence di ESET, che hanno individuato un cluster di 47 app infette distribuite sia attraverso store di terze parti sia, in almeno 9 casi documentati, attraverso il Google Play Store ufficiale prima della rimozione.

Il vettore di infezione principale è quello del cosiddetto "dropper app": l'applicazione scaricata dall'utente sembra funzionare normalmente (gestore di chiamate, registratore vocale, VPN gratuita), ma in background installa silenziosamente il payload principale di CallPhantom attraverso un aggiornamento mascherato da patch di sistema. Secondo il report di ESET pubblicato il 3 marzo 2026, il 78% delle vittime non ha percepito anomalie nelle prime tre settimane di infezione — un dato che testimonia l'efficacia del modulo AI di evasione.

Il cuore tecnologico di CallPhantom è un motore di machine learning on-device che monitora continuamente i pattern di utilizzo dello smartphone. Quando rileva un'attività di scansione antivirus, riduce la propria impronta di rete e sospende la trasmissione dei dati. Quando l'utente utilizza app bancarie, attiva automaticamente un keylogger contestuale. Quando il dispositivo è in carica e connesso al Wi-Fi di notte — condizione statisticamente associata all'assenza di supervisione — trasmette i pacchetti di dati raccolti ai server C2 (Command and Control). I dati rubati includono: trascrizioni delle chiamate, SMS, credenziali bancarie, storico delle posizioni GPS e foto. Un pacchetto di sorveglianza completo, praticamente invisibile.

Distribuzione e vittime: i numeri della minaccia

Capire la scala del problema richiede guardare ai dati con onestà. Ecco uno sguardo comparativo alle principali minacce Android degli ultimi anni rispetto a CallPhantom:

| Malware | Anno | Dispositivi colpiti | Metodo principale | Uso AI | |---|---|---|---|---| | Joker | 2019-2021 | ~500.000 | Google Play Store | No | | FluBot | 2020-2022 | ~1,2 milioni | SMS/phishing | No | | Hermit | 2022 | Mirato (gov.) | Spear phishing | Parziale | | SpinOk | 2023 | ~420 milioni (SDK) | SDK infetto | No | | GoldPickaxe | 2024 | ~200.000 | App store regionali | Parziale | | CallPhantom | 2026 | 2,4+ milioni | Store terze parti + Play | Sì (core) |

I dati sopra mostrano una progressione preoccupante. Secondo il Cybersecurity Threat Report Q1 2026 di Bitdefender, l'Italia è il quarto paese europeo per numero di dispositivi Android compromessi da CallPhantom, con una stima di circa 87.000 smartphone infetti rilevati tra gennaio e aprile 2026. Le regioni più colpite sono Lombardia, Lazio e Campania, probabilmente per la maggiore densità di utenti che utilizzano store alternativi per aggirare restrizioni geografiche su certi contenuti.

Il profilo demografico delle vittime è più ampio del previsto: il 41% ha più di 45 anni, fascia spesso meno esposta a formazione sulla sicurezza informatica. Il 23% è risultato cliente di almeno un istituto bancario italiano, rendendo CallPhantom particolarmente rilevante per il settore fintech e banking. Le perdite economiche dirette documentate in Italia ammontano già a circa 3,2 milioni di euro tra frodi bancarie e accessi abusivi ad account aziendali, secondo dati della Polizia Postale presentati a un convegno il 7 maggio 2026.

Guida pratica: 7 passi per proteggere il tuo Android da CallPhantom

Questa sezione è azionabile. Puoi applicare ogni punto entro i prossimi 30 minuti.

1. Verifica le app installate con permessi sospetti Vai su Impostazioni > App > Gestione app e controlla quali applicazioni hanno accesso a microfono, telefono, SMS e localizzazione. Se un'app di utilità (calcolatrice, torcia, meteo) richiede accesso al microfono o ai contatti, è un segnale di allarme. Rimuovila immediatamente.

2. Controlla il traffico di rete in uscita Scarica un'app affidabile di monitoraggio del traffico come NetGuard (open source, disponibile su F-Droid) e analizza quali app trasmettono dati durante la notte o in standby. CallPhantom trasmette prevalentemente tra le 2:00 e le 4:00 ora locale — un pattern identificato dai ricercatori ESET.

3. Aggiorna Android all'ultima versione disponibile Le patch di sicurezza di marzo e aprile 2026 di Google hanno introdotto correzioni specifiche per le vulnerabilità sfruttate da CallPhantom nell'API di accessibilità. Vai su Impostazioni > Aggiornamento software e installa tutti gli aggiornamenti pendenti. Non rimandare: ogni giorno senza patch è un giorno di esposizione.

4. Disabilita le sorgenti di installazione sconosciute Vai su Impostazioni > Sicurezza > Installa app sconosciute e revoca il permesso a tutte le app che non siano il Play Store. Se hai installato APK da browser o file manager, questo canale deve essere chiuso.

5. Esegui una scansione con due strumenti diversi Nessun antivirus singolo ha un tasso di rilevamento del 100%. Per CallPhantom, i migliori tassi di detection al maggio 2026 sono: Bitdefender Mobile Security (96,3%), Kaspersky for Android (94,8%), ESET Mobile Security (93,1%). Usa almeno due scansioni in sequenza con strumenti diversi.

6. Attiva Google Play Protect e verifica che sia operativo Vai su Google Play Store > Account > Play Protect e assicurati che sia attivo e aggiornato. Google ha aggiunto signature specifiche per CallPhantom nell'aggiornamento del 15 aprile 2026, ma Play Protect deve essere abilitato per beneficiarne.

7. Cambia le credenziali bancarie da un dispositivo sicuro Se sospetti un'infezione, non cambiare password dallo stesso smartphone. Usa un PC o un dispositivo iOS non compromesso, cambia le password di email, home banking e app di pagamento, poi contatta la tua banca per monitorare eventuali accessi anomali. La Polizia Postale italiana ha attivato un canale dedicato: commissariatodips.it.

Errori comuni che rendono i dispositivi vulnerabili

Analizzando i report delle vittime italiane, emergono pattern di comportamento ricorrenti che hanno facilitato l'infezione. Evitarli è la migliore prevenzione.

Errore #1: Scaricare APK da canali Telegram o forum per "sbloccare" app premium È il vettore più sfruttato in Italia. Decine di canali Telegram offrono versioni "craccate" di app popolari — da Adobe agli antivirus stessi — che in realtà contengono CallPhantom o varianti. Il risparmio di 5 euro su un abbonamento può costare migliaia di euro in frodi bancarie.

Errore #2: Ignorare le richieste di permesso durante l'installazione Il 67% degli utenti clicca "Consenti" su tutte le richieste di permesso senza leggere, secondo un sondaggio NordVPN del febbraio 2026 su 3.000 utenti italiani. CallPhantom richiede esplicitamente l'accesso ai "Servizi di accessibilità" — un permesso che nessuna app di utilità standard dovrebbe necessitare.

Errore #3: Non aggiornare le app installate Le versioni obsolete di app legittime possono essere vulnerabili a injection laterale. CallPhantom ha sfruttato vulnerabilità in versioni non aggiornate di un popolare gestore di file per infiltrarsi su dispositivi che non erano stati compromessi tramite installazione diretta.

Errore #4: Usare reti Wi-Fi pubbliche senza VPN Le reti pubbliche sono terreno fertile per attacchi man-in-the-middle che possono favorire il download di aggiornamenti malevoli. Se stai usando il Wi-Fi di un aeroporto o di un hotel, evita di scaricare o aggiornare qualsiasi app.

Errore #5: Credere che "ho un antivirus quindi sono protetto" Gli antivirus tradizionali basati su firma sono efficaci contro malware noti. CallPhantom, grazie al suo motore AI polimorfico, genera varianti del codice ogni poche ore, rendendo le signature obsolete quasi in tempo reale. La sicurezza deve essere stratificata, non affidata a un singolo strumento.

Il futuro del malware AI-driven: cosa aspettarsi nel 2026-2027

CallPhantom non è un caso isolato: è la punta di un iceberg. I ricercatori di sicurezza concordano che stiamo entrando in una fase in cui l'intelligenza artificiale diventa l'arma principale sia degli attaccanti che dei difensori, in una corsa agli armamenti senza precedenti.

Secondo il Global Cybersecurity Outlook 2026 del World Economic Forum, il 74% degli esperti di sicurezza prevede che i malware AI-driven diventeranno la categoria dominante di minacce mobili entro il 2027. Già oggi si documentano campagne che utilizzano LLM locali per generare messaggi di phishing personalizzati in base alle conversazioni intercettate — una capacità che rende il social engineering quasi impossibile da rilevare.

Sul fronte difensivo, Google ha annunciato per Android 17 (previsto per agosto 2026) un sistema di rilevamento comportamentale on-device basato su AI che analizza continuamente i pattern di utilizzo di ogni app e segnala anomalie in tempo reale. Apple ha implementato una tecnologia simile su iOS 19, già disponibile. La sfida è che questi sistemi difensivi richiedono aggiornamenti continui, e la frammentazione dell'ecosistema Android — con milioni di dispositivi che non ricevono più patch di sicurezza — rimane il tallone d'Achille strutturale della piattaforma.

Il futuro appartiene agli utenti che trattano la sicurezza del proprio smartphone come trattano la sicurezza della propria abitazione: non come un'opzione, ma come una necessità quotidiana.

Domande Frequenti

D: Come faccio a sapere se il mio smartphone è già infetto da CallPhantom? R: I segnali principali includono: batteria che si scarica insolitamente in fretta, consumo anomalo di dati mobili (specialmente di notte), surriscaldamento in standby e app che si avviano da sole. Per una verifica più accurata, esegui una scansione con Bitdefender o ESET Mobile Security aggiornati alla versione maggio 2026.

D: CallPhantom colpisce anche gli iPhone con iOS? R: No, finora CallPhantom è documentato esclusivamente su Android. La sua architettura sfrutta le API di accessibilità di Android e i permessi di installazione da fonti esterne, funzionalità non presenti in iOS nella stessa forma. Tuttavia, esistono minacce analoghe specifiche per iOS che sfruttano vulnerabilità nei profili MDM e jailbreak.

D: Il ripristino alle impostazioni di fabbrica elimina CallPhantom? R: In quasi tutti i casi sì, il factory reset elimina il malware. Tuttavia, se il backup che ripristini è stato effettuato dopo l'infezione, potresti reintrodurre il problema. Ripristina dai dati di fabbrica e poi reinstalla le app manualmente dal Play Store, senza ripristinare backup automatici di sistema.

D: Quali sono le app "spia" più usate come vettore da CallPhantom? R: I ricercatori ESET hanno identificato categorie ricorrenti: app di registrazione chiamate, VPN gratuite di origine sconosciuta, strumenti di "pulizia RAM", tastiere alternative e app di messaggistica clone di servizi popolari. Diffida in particolare di qualsiasi app che offra funzionalità premium gratuitamente senza una