I ricercatori di sicurezza di Bitdefender hanno identificato una vasta campagna di frode pubblicitaria che ha distribuito centinaia di applicazioni malevole sul Google Play Store. Queste mostrano annunci pubblicitari fuori contesto e cercano di convincere gli utenti a fornire credenziali e informazioni su metodi di pagamento (per il più “classico” dei tentativi di phishing): considerandole tutte, arriviamo fino a oltre 60 milioni di download.
Segui Google Italia su Telegram, ricevi news e offerte per primo
Annunci indesiderati e phishing: occhio a cosa scaricate, anche dal Play Store
Vista la diffusione dei dispositivi con sistema operativo Android, il Google Play Store viene spesso preso di mira dai criminali informatici: questi provano a caricare app dannose aggirando le protezioni, riuscendo ad adattarsi dopo che la casa di Mountain View le elimina. In certi casi, i malintenzionati alterano funzionalità di app precedentemente innocue che erano già state autorizzate da Google, trasformandole in software pericoloso. Proprio per questi motivi è comunque meglio non fidarsi a priori: se un’app è presente sul Play Store non significa che sia necessariamente sicura al 100%.
I ricercatori di sicurezza dell’IAS Threat Lab hanno scoperto più di 180 applicazioni malevole, ma la campagna risulta molto più ampia. Come riportato da Bitdefender, i criminali utilizzano il loro accesso ai dispositivi per indirizzare gli utenti verso siti di phishing, e non solo per mostrare fastidiosi annunci pubblicitari a pieno schermo.
In particolare, questa campagna di frode coinvolge almeno 331 applicazioni del Google Play Store, 15 delle quali ancora online al momento del completamento della ricerca. I malintenzionati sono riusciti a trovare un modo per nascondere le icone delle app dal launcher dello smartphone “attaccato”, anche se le più recenti versioni di Android riescono a limitare questo fenomeno. La maggior parte delle app mostra annunci a schermo intero, aggirando le restrizioni, ma alcune si spingono oltre, tentando di carpire le credenziali degli utenti per accedere a servizi online o persino dati delle carte di pagamento. Le app possono essere avviate senza interazioni da parte dell’utente, anche se questo non dovrebbe essere possibile da Android 13.
Secondo quanto riportato dal team di ricercatori, perlopiù si tratta di app per sfondi, per la salute, per la scansione dei codici QR o per il monitoraggio delle spese. Ecco qualche esempio nelle immagini qui in basso: se avete scaricato queste app disinstallatele immediatamente.
La maggior parte sono diventate attive per la prima volta nel terzo trimestre del 2024, anche se dietro c’è un meccanismo subdolo: quelle più vecchie pubblicate in precedenza erano inizialmente app innocenti, senza malware, e i comportamenti dannosi sono stati aggiunti solo in seguito a partire appunto dall’inizio del terzo trimestre. La campagna è comunque ancora attiva, visto che i ricercatori sostengono che l’ultimo malware pubblicato sul Play Store è stato lanciato la prima settimana di marzo 2025. Queste due app, ad esempio, sono arrivate solo il 4 marzo 2025.
Per i dettagli tecnici vi lasciamo all’articolo di approfondimento di Bitdefender, ma vale la pena aggiungere un paio di dettagli: i malintenzionati possono disattivare e attivare dinamicamente l’icona all’interno del launcher ogni volta che vogliono, ma c’è di più; come possiamo vedere nel video qui sotto (che ci mostra un esempio), le app riescono anche a nascondersi all’interno delle impostazioni attraverso un cambio di nome (nell’esempio l’app “ShapeUp” diventa “Google Voice”).
Fate sempre attenzione a ciò che scaricate sul vostro smartphone o tablet Android, anche se proviene dal Google Play Store, e tenete il vostro dispositivo aggiornato alle patch di sicurezza più recenti (per quanto possibile).