Android 13: attenzione ad alcune pericolose app su Google Play

I pericoli online sembrano essere sempre dietro l’angolo. A tal proposito, i ricercatori di Bitdefender hanno scoperto una massiccia campagna malevola. Quest’ultima ha compromesso la sicurezza di milioni di utenti Android attraverso il Google Play Store. Tale operazione su larga scala ha coinvolto centinaia di applicazioni apparentemente innocue. Suddette app sono state progettate per aggirare le protezioni integrate in Android 13. Complessivamente, le applicazioni hanno accumulato oltre 60 milioni di download prima che la maggior parte venisse rimossa dallo store ufficiale. Al momento della scoperta, però, almeno 15 applicazioni erano ancora attive e disponibili per il download.

Android 13: app malevole scovate nel Play Store

Le applicazioni fraudolente non si limitano a mostrare annunci pubblicitari invasivi. In molti casi, sono programmate per sottrarre credenziali e dati bancari degli utenti. Sfruttando tecniche di phishing sofisticate. Spesso mascherate da strumenti comuni come scanner di codici QR, app per il monitoraggio della salute o delle spese e downloader di file, tali applicazioni riescono a ingannare gli utenti che le installano inconsapevolmente.

Il modus operandi dei criminali è subdolo. Inizialmente, rilasciano app apparentemente legittime e prive di codice dannoso. Una volta accumulate recensioni positive e un numero considerevole di download, aggiornano

tali applicazioni con funzionalità malevole attraverso update successivi. Tale approccio consente loro di aggirare i controlli di sicurezza del Google Play Store. Infettando così un numero elevato di dispositivi prima di essere scoperti.

Per attivarsi automaticamente senza il consenso dell’utente, il malware utilizza un content provider nascosto. Capace di eseguire codice subito dopo l’installazione senza che l’app debba essere avviata manualmente. Un altro aspetto preoccupante è la capacità di tali applicazioni di mostrare schermate di phishing e annunci pubblicitari a tutto schermo. Senza richiedere permessi visibili. Ciò è possibile grazie a un display virtuale che permette di sovrapporre contenuti malevoli alle altre app.

I ricercatori hanno inoltre rilevato che la comunicazione tra tali app e i server di comando e controllo (C2) avviene tramite canali crittografati. Con dati offuscati per evitare l’analisi e il rilevamento. L’ultima app malevola identificata nell’ambito di tale campagna su dispositivi Android è stata caricata su Google Play il 4 marzo 2025. Tale scoperta suggerisce che il pericolo è ancora attivo. E che gli attaccanti stanno continuando a perfezionare le proprie tecniche per sfruttare vulnerabilità e lacune nel sistema di sicurezza di Android.