Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Certe app sembrano innocue. Un lettore PDF, uno scanner QR, magari una torcia. Le installi, funzionano… e poi te ne dimentichi. Solo che nel frattempo, in silenzio, il dispositivo potrebbe fare altro. Qualcosa che l’utente non vede e non ha mai autorizzato: generare traffico web nascosto e consumare risorse del telefono.
È esattamente ciò che i ricercatori hanno osservato in una nuova operazione chiamata Genisys, individuata mentre si monitoravano schemi di traffico sospetti nel panorama delle app mobili. La cosa sorprendente? Non parliamo di un piccolo gruppo di domini o app isolate, ma di una struttura molto più ampia, costruita per trasformare attività generate da app in traffico web monetizzabile.
Dietro Genisys c’è una rete enorme di siti web. Parliamo di circa 500 domini, molti dei quali realizzati con strumenti di generazione automatica basati su AI. A prima vista sembrano normali blog o portali informativi. Articoli, menu, layout puliti… tutto abbastanza plausibile. Però osservandoli uno accanto all’altro emergono schemi curiosi: strutture quasi identiche, contenuti ripetitivi, differenze minime tra un sito e l’altro.
Il loro scopo non è attirare lettori veri. Servono solo come destinazione per traffico artificiale.
Le app coinvolte aprono sessioni di browser nascoste in background e caricano queste pagine senza che l’utente se ne accorga. Il risultato è traffico web che appare legittimo, ma che in realtà nasce da attività automatizzata.
Qui entra in gioco una tecnica piuttosto ingegnosa. Genisys utilizza un sistema di app bundle ID spoofing, cioè falsifica gli identificativi delle app che sembrano generare il traffico. In pratica i domini ricevono visite attribuite a centinaia di applicazioni diverse.
Il problema? Molte di queste app dichiarate non sono quelle che stanno realmente producendo l’attività. Così un singolo dominio può sembrare collegato a centinaia di fonti differenti. Questo “rumore” di attribuzione rende molto più difficile individuare quali app siano davvero responsabili del traffico nascosto. E la domanda che viene spontanea è una sola. Quante app stanno davvero facendo questo?
L’analisi ha mostrato un altro dettaglio curioso: diversi sviluppatori coinvolti avevano già una storia di comportamenti simili. Un esempio? Un account con 13 applicazioni pubblicate, tutte poi rimosse o rese inattive dopo l’indagine. Ma il punto è che lo schema tende a ripetersi: app eliminate, nuove app pubblicate dagli stessi profili o da entità collegate.
Nel tempo l’attività si è allargata anche dal punto di vista geografico. Inizialmente concentrata soprattutto in Nord America, durante il quarto trimestre del 2025 ha iniziato a comparire in un numero crescente di paesi tra APAC, America Latina ed Europa. Non è stato un picco isolato. Piuttosto una crescita costante.
L’operazione è stata analizzata dal Integral Ad Science Threat Lab, che ha correlato i pattern di traffico, i comportamenti delle app e le infrastrutture web coinvolte. Dopo aver verificato il funzionamento dello schema, i ricercatori hanno condiviso le informazioni con Google. Questo ha portato alla rimozione delle versioni fraudolente delle app dal Play Store e all’attivazione di protezioni aggiuntive.
Google Play Protect ora avvisa gli utenti e disattiva automaticamente le applicazioni associate a Genisys, anche quando provengono da fonti esterne allo store ufficiale. Chi vuole approfondire può consultare il report completo pubblicato dal Threat Lab di Integral Ad Science.
Dopo le azioni di enforcement, il volume delle richieste pubblicitarie generate dallo schema è crollato di oltre il 95%. Per la community di Red Hot Cyber: questo caso mostra una cosa abbastanza chiara. Le operazioni di frode non puntano più solo su bot o siti compromessi, ma su ecosistemi sintetici costruiti da zero. Domini generati con AI, traffico simulato, attribuzioni manipolate. Il rischio reale è che queste infrastrutture diventino sempre più veloci da creare e sostituire. E allora la vera partita si gioca sulla capacità di riconoscere i pattern… non solo i singoli indicatori.
