Cyble Research and Intelligence Labs ha recentemente individuato una preoccupante campagna di diffusione di applicazioni malevole all’interno del Google Play Store, il marketplace ufficiale del sistema operativo Android. In totale, i ricercatori hanno identificato 20 applicazioni sospette, molte delle quali risultano essere dei doppioni, cioè versioni differenti della stessa app malevola ma con leggere variazioni nei nomi, nelle descrizioni o nell’interfaccia grafica. Questo stratagemma viene spesso utilizzato per aumentare le probabilità che almeno una versione superi i controlli automatici di sicurezza di Google.
Il punto cruciale e particolarmente insidioso di questa campagna è la simulazione di applicazioni legittime legate al mondo delle criptovalute e della finanza decentralizzata (DeFi). Alcune delle app infette, ad esempio, si spacciavano per l’app ufficiale di Pancake Swap, una delle piattaforme di scambio di token più utilizzate nella finanza decentralizzata. In questo modo, gli utenti che cercano l’app originale possono essere facilmente tratti in inganno.
Una volta installate, queste applicazioni mettono in atto una frode ben congegnata: attraverso interfacce simili a quelle reali, inducono l’utente a inserire le credenziali del proprio wallet – comprese le seed phrase, ovvero le parole chiave che permettono di recuperare un portafoglio. Ottenute queste informazioni, i truffatori possono accedere direttamente ai wallet delle vittime e rubare le criptovalute in essi contenute.
Compromissione di account legittimi e phishing su larga scala
Uno degli aspetti più preoccupanti della vicenda è che la campagna è stata portata avanti utilizzando account sviluppatore già esistenti, precedentemente associati ad app legittime. Si tratta spesso di account inattivi ma ancora presenti nel sistema di Google. I criminali informatici, una volta ottenuto il controllo di questi profili, li hanno utilizzati per pubblicare nuove app malevole, riuscendo così a bypassare gran parte delle misure di sicurezza automatiche del Google Play Store. La reputazione positiva di questi account ha contribuito a rendere le app più credibili agli occhi degli utenti.
Inoltre, la diffusione delle applicazioni è stata supportata da una vera e propria infrastruttura di phishing, che include oltre 50 domini web fasulli collegati alle app, amplificando notevolmente la portata della truffa. Questa combinazione di fattori – account apparentemente affidabili, app simili a quelle ufficiali, e una rete di siti malevoli – rende molto difficile l’identificazione tempestiva del pericolo da parte sia degli utenti che degli strumenti di protezione tradizionali.
Le 9 app malevole da disinstallare immediatamente
Dopo aver eliminato le versioni duplicate, Cyble ha pubblicato un elenco di nove applicazioni effettivamente diverse, tutte individuate come parte integrante della campagna fraudolenta. Se hai installato una di queste app sul tuo dispositivo, è urgente rimuoverla immediatamente:
Pancake Swap
Suite Wallet
Hyperliquid
Raydium
BullX Crypto
OpenOcean Exchange
Meteora Exchange
SushiSwap
Harvest Finance Blog
Si raccomanda inoltre di cambiare le credenziali dei propri wallet e, se possibile, di rigenerare la propria seed phrase utilizzando wallet ufficiali e open source. Ricorda sempre di verificare la fonte e l’autenticità delle app prima dell’installazione e di consultare il sito ufficiale del servizio per trovare il link corretto. Se siete interessati all’argomento e volete rimanere aggiornati e protetti, vi consigliamo articoli simili.
