Installate da milioni di persone, ma nessuno le vedeva: il caso delle app Android fantasma

I Bitdefender Labs hanno individuato una vasta campagna fraudolenta che ha portato alla pubblicazione di centinaia di applicazioni Android dannose sul Google Play Store, raggiungendo complessivamente oltre 60 milioni di download. Le app, apparentemente legittime, sono state utilizzate per mostrare pubblicità invasive e, in alcuni casi, per tentare il furto di credenziali e dati di pagamento tramite pagine di phishing.

Google Play continua a rappresentare un obiettivo privilegiato per i gruppi criminali, che cercano di aggirare i controlli di sicurezza dello store e le protezioni integrate nel sistema operativo Android. Sebbene Google rimuova regolarmente le applicazioni segnalate come malevole, le campagne più strutturate riescono a rientrare sfruttando aggiornamenti successivi o tecniche di offuscamento.

L’analisi di Bitdefender ha identificato almeno 331 applicazioni coinvolte, di cui alcune ancora disponibili sullo store al momento della conclusione della ricerca. Il comportamento dannoso non era sempre presente al momento della pubblicazione iniziale: diverse app risultavano innocue nelle prime versioni e sono state modificate successivamente tramite aggiornamenti.

Pubblicazione e finestra temporale

La maggior parte delle applicazioni analizzate è stata pubblicata o aggiornata tra la fine del 2023 e l’inizio del 2024. Gli aggiornamenti distribuiti in questo periodo hanno introdotto componenti e comportamenti malevoli che non erano presenti nelle versioni precedenti.
Il report dei Bitdefender Labs è stato pubblicato il 4 marzo 2024, quando la campagna risultava ancora attiva.

App apparentemente legittime

Le applicazioni coinvolte imitavano categorie comuni e ad alta diffusione, tra cui:

• scanner di codici QR
• app per il monitoraggio delle spese
• applicazioni per la salute e il benessere
• app per sfondi e personalizzazione

Questa scelta ha favorito la diffusione, riducendo la probabilità che gli utenti sospettassero comportamenti anomali subito dopo l’installazione.

Avvio invisibile e abuso dei Content Provider

Uno degli aspetti più rilevanti della campagna riguarda la capacità delle app di avviarsi senza interazione diretta dell’utente, eludendo le restrizioni introdotte nelle versioni più recenti di Android, inclusa Android 13.

Secondo Bitdefender, le applicazioni dichiarano Content Provider che vengono interrogati automaticamente dal sistema operativo al termine dell’installazione. Questo meccanismo consente l’esecuzione di codice anche quando l’app non viene mai aperta manualmente, permettendo l’avvio di servizi e attività in background.

Nel tempo, gli sviluppatori del malware hanno affinato queste tecniche per ridurre la visibilità durante le analisi statiche, spostando riferimenti critici dalle dichiarazioni più evidenti a strutture meno immediatamente identificabili.

Icon hiding: app installate ma invisibili

Un altro elemento chiave è il meccanismo di occultamento dell’icona.
Le app dichiarano l’attività di avvio (launcher activity) come disabilitata di default nel manifest. In questo modo:

• l’icona non compare nel launcher subito dopo l’installazione
• l’app risulta difficile da individuare o rimuovere per l’utente
• eventuali attivazioni del launcher avvengono solo temporaneamente o tramite codice nativo

Questo comportamento non è previsto dalle linee guida più recenti di Android e suggerisce l’abuso di meccanismi di sistema o di comportamenti non documentati.

Pubblicità invasiva e phishing

Le applicazioni mostravano annunci pubblicitari a schermo intero anche quando non erano in primo piano, interferendo direttamente con l’esperienza dell’utente. In alcuni casi, queste schermate simulavano interfacce di login o moduli di pagamento, con l’obiettivo di raccogliere credenziali di servizi online o dati di carte di credito.

Secondo Bitdefender, queste tecniche dimostrano una chiara capacità di condurre attacchi di phishing direttamente dal dispositivo, sfruttando la fiducia riposta nelle app installate tramite lo store ufficiale.

Persistenza e comunicazione remota

Per mantenere l’esecuzione nel tempo, molte app avviano servizi persistenti e utilizzano diversi meccanismi di riattivazione automatica.
La comunicazione con i server di comando e controllo avviene tramite domini dedicati, con dati cifrati usando combinazioni di algoritmi standard e schemi proprietari. Le informazioni esfiltrate variano da app a app e utilizzano strutture polimorfiche per ostacolare il rilevamento.

Considerazioni finali

Secondo i Bitdefender Labs, questa campagna evidenzia come il solo affidamento alle protezioni predefinite di Android e del Google Play Store non sia sufficiente contro minacce avanzate e in continua evoluzione. Il caso dimostra l’importanza di analizzare il comportamento delle applicazioni dopo l’installazione, soprattutto quando aggiornamenti successivi possono trasformare app inizialmente legittime in strumenti malevoli.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.