Una massiccia frode pubblicitaria Android è stata portata alla luce dai ricercatori di HUMAN Security, che hanno individuato una campagna malware ribattezzata Trapdoor attiva sul Play Store di Google. Il meccanismo era tanto semplice quanto insidioso: centinaia di app apparentemente innocue, una volta installate sugli smartphone degli utenti, generavano traffico pubblicitario fraudolento in modo completamente invisibile. E come se non bastasse, queste applicazioni cercavano anche di diffondere ulteriore malware sui dispositivi colpiti. La notizia positiva, ed è il motivo per cui se ne parla al passato, è che Google ha già provveduto a rimuovere tutte le app coinvolte, eliminando di fatto la minaccia dalla propria piattaforma.
I numeri fanno una certa impressione. Il team Satori Threat Intelligence ha identificato ben 455 applicazioni Android compromesse e 183 domini controllati dagli attaccanti, utilizzati come infrastruttura di comando e controllo per orchestrare tutta l’operazione. Parliamo di un volume enorme, con circa 24 milioni di download complessivi. Le app in questione si spacciavano per strumenti di uso quotidiano: visualizzatori PDF, applicazioni per la pulizia del dispositivo, tool che promettevano di ottimizzare le prestazioni dello smartphone. Nulla che potesse destare sospetti, insomma. Roba che chiunque potrebbe scaricare senza pensarci due volte.
Come funzionava il meccanismo della frode pubblicitaria
Ed è proprio qui che la faccenda si fa interessante, perché il vero trucco stava nella seconda fase dell’attacco. Le app scaricate dal Play Store, di per sé, non rappresentavano la minaccia principale. Quello che facevano era mostrare falsi avvisi e messaggi costruiti per sembrare aggiornamenti software legittimi o notifiche di sistema. Tutto studiato per convincere gli utenti a scaricare ulteriori applicazioni, queste sì controllate direttamente dagli attaccanti. Una tecnica di ingegneria sociale piuttosto classica ma evidentemente ancora molto efficace, visto il numero di dispositivi coinvolti.
Una volta che le app secondarie venivano installate, partiva il vero cuore della frode pubblicitaria Android. Queste applicazioni caricavano WebView nascoste e stabilivano connessioni verso domini HTML5 gestiti dai cybercriminali. Il risultato era la generazione automatica di richieste pubblicitarie, tutto senza che l’utente avesse la minima idea di cosa stesse succedendo sul proprio telefono. In pratica lo smartphone diventava una macchina per produrre clic fantasma su inserzioni pubblicitarie, gonfiando artificialmente i ricavi degli attaccanti a danno degli inserzionisti che pagavano per visualizzazioni e interazioni mai avvenute realmente.
Questa campagna Trapdoor rappresenta l’ennesimo caso in cui il Play Store viene sfruttato come veicolo per distribuire software malevolo mascherato da app legittime. Google ha rimosso tutte le 455 applicazioni identificate, debellando questa specifica ondata di frode pubblicitaria.
