Stai scaricando un programma gratuito, magari un’utility per velocizzare il sistema o un gioco che cercavi da tempo. L’installazione va a buon fine, tutto sembra normale. Ma in quel momento, senza che tu te ne accorga, qualcuno ha appena ottenuto libero accesso al tuo computer. Non è uno scenario ipotetico. Secondo i dati più recenti, i trojan rappresentano circa il 58% di tutti gli attacchi malware registrati a livello globale, e nel solo 2025 gli attacchi da banking trojan su dispositivi Android sono cresciuti del 56% rispetto all’anno precedente. Questa guida ti spiega nel dettaglio che cos’è un trojan, come agisce, quali varianti esistono e soprattutto come difenderti in modo concreto.
Indice dei contenuti
Che cos’è un trojan e perché è così insidioso
Il nome viene dal celebre cavallo di Troia della mitologia greca, e il principio è identico. Un trojan è un programma malevolo che si presenta come software legittimo per convincere l’utente a installarlo volontariamente. A differenza di un worm, che si replica e si diffonde in autonomia attraverso la rete, il trojan ha bisogno dell’azione diretta della vittima per attivarsi. Questa è la sua forza: l’inganno.
Una volta eseguito, il trojan apre una backdoor nel sistema, cioè un canale di comunicazione nascosto che consente ai criminali informatici di accedere al dispositivo da remoto. Da quel momento il danno può assumere molte forme: furto di credenziali, installazione di ulteriori malware, registrazione dei tasti digitati o persino il controllo completo della macchina. Il tutto mentre l’utente continua a usare il computer senza sospettare nulla.
Il trojan non danneggia i file in modo visibile e non rallenta il sistema in modo evidente, almeno non nelle fasi iniziali. Proprio per questo è una delle minacce più longeve e difficili da individuare nel panorama della sicurezza informatica.
Le varianti più pericolose
Non tutti i trojan sono uguali. Nel corso degli anni si sono evoluti in varianti specializzate, ciascuna progettata per uno scopo preciso. Conoscerle è il primo passo per sapere cosa cercare.
RAT: il controllo remoto totale
I Remote Access Trojan, noti con l’acronimo RAT, rappresentano una delle categorie più temute. Una volta installati, danno all’attaccante il pieno controllo del dispositivo infetto. Può attivare la webcam, leggere i file, eseguire comandi e usare la macchina come punto di partenza per attaccare altri sistemi. I RAT sono tra gli strumenti principali venduti nei mercati del dark web e il loro utilizzo è in costante crescita, alimentato dal modello Malware-as-a-Service che abbassa la soglia tecnica necessaria per sferrare un attacco.
Banking trojan: l’assalto ai conti correnti
I banking trojan sono progettati per intercettare le credenziali di accesso ai servizi bancari online. Varianti storiche come Zeus Gameover ed Emotet hanno causato danni miliardari. Emotet, in particolare, nato come trojan bancario si è poi trasformato in una piattaforma modulare capace di distribuire altri payload malevoli, compresi i ransomware. Secondo i dati Kaspersky, nel 2025 sono stati identificati oltre 255.000 nuovi pacchetti di installazione di banking trojan per Android, con un incremento del 271% rispetto al 2024. Famiglie come Mamont e Creduz dominano oggi questo segmento.
Trojan downloader e dropper
Queste varianti non compiono direttamente il danno finale. Il loro compito è superare le difese iniziali del sistema e scaricare o rilasciare un secondo payload, che può essere uno spyware capace di monitorare ogni attività dell’utente, un infostealer specializzato nel furto di credenziali e cookie di sessione, oppure un malware polimorfico in grado di modificare il proprio codice per sfuggire agli antivirus. SocGholish, noto anche come FakeUpdates, è uno degli esempi più rilevanti: nel 2024 ha rappresentato da solo il 60% delle prime dieci minacce malware su Windows, sfruttando finte notifiche di aggiornamento del browser per ingannare le vittime.
Come si diffonde un trojan
Il vettore di distribuzione più comune resta la posta elettronica. Il 92% del malware viene recapitato tramite email, spesso attraverso campagne di phishing costruite con cura. Il messaggio imita comunicazioni di banche, corrieri o colleghi di lavoro e contiene un allegato infetto o un link a una pagina compromessa.
Ma le email non sono l’unico canale. I trojan si nascondono anche in software pirata scaricato da fonti non ufficiali, in estensioni del browser apparentemente innocue e persino in applicazioni pubblicate su store non verificati. Una tendenza recente e particolarmente efficace è il malvertising: pubblicità online compromesse che reindirizzano l’utente verso pagine infette senza che debba cliccare intenzionalmente. Un’altra tecnica in forte crescita è la tecnica del copy and paste, dove la vittima viene indotta a copiare e incollare un comando nel terminale del proprio sistema, credendo di eseguire un’operazione legittima.
Sul fronte mobile, il rischio è altrettanto concreto. I dispositivi Android attraggono tra il 95% e il 98% del malware mobile. I criminali distribuiscono trojan attraverso app di messaggistica e pagine web che imitano il Google Play Store, convincendo gli utenti a installare applicazioni già compromesse.
Come riconoscere un’infezione e difendersi
Individuare un trojan non è semplice, proprio perché è progettato per restare invisibile. Tuttavia esistono segnali a cui prestare attenzione: un consumo anomalo di banda di rete, processi sconosciuti nel task manager, rallentamenti improvvisi o connessioni in uscita verso indirizzi sospetti possono indicare la presenza di una backdoor attiva.
La difesa più efficace si costruisce su più livelli. Il primo è la prevenzione comportamentale. Non scaricare mai software da fonti non verificate, non aprire allegati email da mittenti sconosciuti e non eseguire comandi trovati online senza comprenderne il significato. Ogni programma installato dovrebbe provenire esclusivamente da canali ufficiali.
Il secondo livello è tecnologico. Un buon antimalware con protezione in tempo reale è indispensabile, ma da solo non basta. Le soluzioni EDR — Endpoint Detection and Response — monitorano il comportamento dei processi in esecuzione e sono in grado di identificare attività anomale anche quando il trojan è sconosciuto ai database delle firme tradizionali. Mantenere aggiornato il sistema operativo e tutte le applicazioni è altrettanto critico, perché molti trojan sfruttano vulnerabilità già note ma non ancora corrette dalla vittima.
Il terzo livello riguarda la gestione degli accessi. Utilizzare il principio del least privilege, cioè lavorare con un account che non dispone di diritti di amministratore, limita enormemente il raggio d’azione di un trojan che riesce a eseguirsi. Abbinato all’autenticazione a più fattori — la cosiddetta MFA — questo approccio riduce drasticamente il rischio che credenziali rubate vengano sfruttate per accedere a servizi sensibili.
Conclusione
Il trojan resta una delle minacce più diffuse e sottovalutate nel panorama della sicurezza informatica. La sua efficacia si basa su un principio antico quanto l’inganno stesso: presentarsi come qualcosa di affidabile per colpire dall’interno. Le varianti si moltiplicano, i canali di distribuzione si diversificano e il modello as-a-service rende questi strumenti accessibili anche a criminali privi di competenze tecniche avanzate. La buona notizia è che la difesa è possibile, a patto di combinare consapevolezza, strumenti adeguati e abitudini digitali solide. Hai mai controllato davvero quali processi girano in background sul tuo sistema?
