Roma, 18 settembre 2025 – Una nuova allerta per la sicurezza informatica coinvolge gli utenti Android in tutto il mondo, Italia compresa. Il team Satori Threat Intelligence di Human Security ha scoperto una massiccia operazione di frode pubblicitaria su dispositivi Android, che ha coinvolto 224 app malevole, scaricate oltre 38 milioni di volte. Queste applicazioni, ora rimosse da Google, erano parte di una sofisticata campagna fraudolenta nota come SlopAds, capace di generare fino a 2,3 miliardi di richieste pubblicitarie al giorno.
Il meccanismo di SlopAds e la frode pubblicitaria
Le app malevole coinvolte in SlopAds si presentavano come applicazioni apparentemente innocue, senza manifestare comportamenti sospetti al momento dell’installazione tramite il Google Play Store. Tuttavia, quando installate attraverso campagne pubblicitarie, attivavano un meccanismo di frode sofisticato. Grazie all’utilizzo di Firebase Remote Config, veniva scaricato un file di configurazione crittografato che attivava il malware FatModule.
Questo malware sfruttava componenti WebView per raccogliere informazioni sul dispositivo e sul browser, e permetteva l’esecuzione di attività invisibili all’utente, come l’apertura di pagine web, lo scorrimento e il clic automatico su annunci pubblicitari. Il risultato era un aumento artificiale delle impression e dei clic, con la rete di supporto articolata su oltre 300 domini promozionali e numerosi server di comando e controllo.
A complicare la situazione, le app utilizzavano tecniche di offuscamento multilivello e attivavano il comportamento fraudolento solo in condizioni specifiche, rendendo difficile il rilevamento da parte dei sistemi antifrode e di sicurezza come Play Protect.
Impatto globale e intervento di Google
L’operazione SlopAds aveva una portata globale, con le maggiori concentrazioni di traffico fraudolento negli Stati Uniti (30%), India (10%) e Brasile (7%). Anche in Italia si sono registrate infezioni, motivo per cui Google ha invitato gli utenti a disinstallare le app coinvolte per mettere in sicurezza i propri dispositivi.
Google ha risposto prontamente rimuovendo tutte le applicazioni incriminate dal Play Store e aggiornando i sistemi di sicurezza per avvisare gli utenti del rischio. La rimozione ha interrotto la diffusione di questa specifica campagna, ma il rischio rimane elevato a causa della possibile creazione di nuove app dannose con tecniche simili.
Evoluzione delle minacce Android: la botnet BADBOX 2.0 e nuovi malware
Parallelamente alla scoperta di SlopAds, un altro pericolo si è affacciato nel panorama della sicurezza Android. Il team Satori di Human Security, in collaborazione con Google e altri partner, ha individuato BADBOX 2.0, la più grande botnet mai scoperta su dispositivi TV connessi e tablet Android a basso costo. Questa botnet coinvolge almeno quattro gruppi di minaccia e sfrutta backdoor per caricare moduli di frode e malware come Triada (BB2DOOR).
BADBOX 2.0 ha infettato circa un milione di dispositivi in regioni come Brasile, Stati Uniti, Messico e Argentina, utilizzandoli per frodi pubblicitarie programmatiche, clic falsi, servizi proxy illeciti e attacchi informatici, tra cui DDoS e takeover di account. Anche Google ha rimosso 24 app che distribuivano malware collegati a questa botnet.
Le modalità di distribuzione di BADBOX 2.0 comprendono app trojanizzate e componenti pre-installati, con una sofisticata capacità di modificare librerie Android legittime per garantire la persistenza del malware. La situazione evidenzia come le minacce Android stanno evolvendo in complessità e pericolosità, richiedendo una vigilanza costante da parte degli utenti e delle piattaforme di sicurezza.
L’attenzione verso la sicurezza delle app Android diventa ogni giorno più cruciale, soprattutto alla luce di frodi pubblicitarie sempre più evolute e botnet capaci di controllare una vasta rete di dispositivi compromessi. Gli utenti italiani sono invitati a verificare e disinstallare eventuali app sospette, aggiornare regolarmente il sistema operativo e utilizzare soluzioni antivirus affidabili per proteggere i propri dispositivi da minacce come SlopAds e BADBOX 2.0.
