I Bitdefender Labs hanno individuato una vasta campagna fraudolenta che ha portato alla pubblicazione di centinaia di applicazioni Android dannose sul Google Play Store, raggiungendo complessivamente oltre 60 milioni di download. Le app, apparentemente legittime, sono state utilizzate per mostrare pubblicità invasive e, in alcuni casi, per tentare il furto di credenziali e dati di pagamento tramite pagine di phishing.
Google Play continua a rappresentare un obiettivo privilegiato per i gruppi criminali, che cercano di aggirare i controlli di sicurezza dello store e le protezioni integrate nel sistema operativo Android. Sebbene Google rimuova regolarmente le applicazioni segnalate come malevole, le campagne più strutturate riescono a rientrare sfruttando aggiornamenti successivi o tecniche di offuscamento.
L’analisi di Bitdefender ha identificato almeno 331 applicazioni coinvolte, di cui alcune ancora disponibili sullo store al momento della conclusione della ricerca. Il comportamento dannoso non era sempre presente al momento della pubblicazione iniziale: diverse app risultavano innocue nelle prime versioni e sono state modificate successivamente tramite aggiornamenti.
Advertising
Pubblicazione e finestra temporale
La maggior parte delle applicazioni analizzate è stata pubblicata o aggiornata tra la fine del 2023 e l’inizio del 2024. Gli aggiornamenti distribuiti in questo periodo hanno introdotto componenti e comportamenti malevoli che non erano presenti nelle versioni precedenti. Il report dei Bitdefender Labs è stato pubblicato il 4 marzo 2024, quando la campagna risultava ancora attiva.
App apparentemente legittime
Le applicazioni coinvolte imitavano categorie comuni e ad alta diffusione, tra cui:
scanner di codici QR
app per il monitoraggio delle spese
applicazioni per la salute e il benessere
app per sfondi e personalizzazione
Questa scelta ha favorito la diffusione, riducendo la probabilità che gli utenti sospettassero comportamenti anomali subito dopo l’installazione.
Avvio invisibile e abuso dei Content Provider
Uno degli aspetti più rilevanti della campagna riguarda la capacità delle app di avviarsi senza interazione diretta dell’utente, eludendo le restrizioni introdotte nelle versioni più recenti di Android, inclusa Android 13.
Secondo Bitdefender, le applicazioni dichiarano Content Provider che vengono interrogati automaticamente dal sistema operativo al termine dell’installazione. Questo meccanismo consente l’esecuzione di codice anche quando l’app non viene mai aperta manualmente, permettendo l’avvio di servizi e attività in background.
Advertising
Nel tempo, gli sviluppatori del malware hanno affinato queste tecniche per ridurre la visibilità durante le analisi statiche, spostando riferimenti critici dalle dichiarazioni più evidenti a strutture meno immediatamente identificabili.
Icon hiding: app installate ma invisibili
Un altro elemento chiave è il meccanismo di occultamento dell’icona. Le app dichiarano l’attività di avvio (launcher activity) come disabilitata di default nel manifest. In questo modo:
l’icona non compare nel launcher subito dopo l’installazione
l’app risulta difficile da individuare o rimuovere per l’utente
eventuali attivazioni del launcher avvengono solo temporaneamente o tramite codice nativo
Questo comportamento non è previsto dalle linee guida più recenti di Android e suggerisce l’abuso di meccanismi di sistema o di comportamenti non documentati.
Pubblicità invasiva e phishing
Le applicazioni mostravano annunci pubblicitari a schermo intero anche quando non erano in primo piano, interferendo direttamente con l’esperienza dell’utente. In alcuni casi, queste schermate simulavano interfacce di login o moduli di pagamento, con l’obiettivo di raccogliere credenziali di servizi online o dati di carte di credito.
Secondo Bitdefender, queste tecniche dimostrano una chiara capacità di condurre attacchi di phishing direttamente dal dispositivo, sfruttando la fiducia riposta nelle app installate tramite lo store ufficiale.
Persistenza e comunicazione remota
Per mantenere l’esecuzione nel tempo, molte app avviano servizi persistenti e utilizzano diversi meccanismi di riattivazione automatica. La comunicazione con i server di comando e controllo avviene tramite domini dedicati, con dati cifrati usando combinazioni di algoritmi standard e schemi proprietari. Le informazioni esfiltrate variano da app a app e utilizzano strutture polimorfiche per ostacolare il rilevamento.
Considerazioni finali
Secondo i Bitdefender Labs, questa campagna evidenzia come il solo affidamento alle protezioni predefinite di Android e del Google Play Store non sia sufficiente contro minacce avanzate e in continua evoluzione. Il caso dimostra l’importanza di analizzare il comportamento delle applicazioni dopo l’installazione, soprattutto quando aggiornamenti successivi possono trasformare app inizialmente legittime in strumenti malevoli.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.