La campagna “SlopAds” si basava su un’architettura ingegnosa e un meccanismo di attivazione condizionale per eludere i controlli, generando fino a 2,3 miliardi di richieste fraudolente al giorno e sfruttando milioni di utenti.
[In pillole] La sintesi per chi va di fretta:
Google ha rimosso 224 app dal Play Store per la campagna di frode pubblicitaria 'SlopAds'. Questa operazione generava miliardi di richieste fraudolente sfruttando i dispositivi di milioni di utenti. Le app, scaricate oltre 38 milioni di volte, eludevano i controlli di sicurezza attivando la frode solo in condizioni specifiche, causando rallentamenti e un consumo anomalo della batteria sugli smartphone colpiti.
Un meccanismo di attivazione condizionale
La vera astuzia di SlopAds consisteva nella sua capacità di distinguere la provenienza dell’utente. Se un’applicazione veniva installata direttamente cercando il suo nome sul Play Store, si comportava in modo del tutto normale, superando così le analisi di sicurezza.
Il suo comportamento malevolo, invece, si attivava soltanto se l’installazione avveniva attraverso uno degli annunci pubblicitari diffusi dagli stessi autori della campagna.
In pratica, l’app “sapeva” di essere stata scaricata tramite un canale controllato e solo in quel caso avviava la procedura di frode. Questo stratagemma ha permesso alle app di rimanere sul Play Store per un tempo considerevole, accumulando milioni di download senza destare sospetti.
Una volta attivata, l’applicazione utilizzava un servizio legittimo di Google, Firebase Remote Config, per ricevere istruzioni da un server esterno. Queste istruzioni la guidavano a scaricare una serie di immagini in formato PNG che, all’apparenza innocue, nascondevano al loro interno porzioni di codice malevolo attraverso una tecnica nota come steganografia.
Il codice, una volta ricomposto sul dispositivo, dava vita a un modulo chiamato “FatModule”, il vero motore della frode.
Questo modulo avviava in background dei browser web invisibili all’utente (tecnicamente noti come WebView), che navigavano su siti web controllati dagli aggressori e iniziavano a visualizzare annunci pubblicitari a ripetizione.
L’utente non si accorgeva di nulla, se non forse di un rallentamento generale del telefono e di un consumo anomalo della batteria, mentre il suo dispositivo veniva usato per generare profitti illeciti per i creatori della campagna.
Le conseguenze per gli utenti e la risposta di Google
Sebbene le vittime dirette della frode fossero gli inserzionisti, che pagavano per annunci visualizzati da bot e non da persone reali, anche gli utenti finali hanno subito conseguenze tangibili.
L’esecuzione continua di processi nascosti in background causava un notevole dispendio di risorse, rallentando le prestazioni del dispositivo e riducendo drasticamente l’autonomia della batteria.
In sostanza, era come se sul telefono fossero in esecuzione contemporaneamente più browser web, ma senza che l’utente potesse vederli o chiuderli.
La portata geografica del traffico mostrava una concentrazione significativa negli Stati Uniti, che rappresentavano circa il 30% delle impressioni pubblicitarie, seguiti da India e Brasile.
– Leggi anche: Il commercio agentivo: l’intelligenza artificiale che acquista per noi e le proiezioni miliardarie
Di fronte alla segnalazione di HUMAN, Google ha agito rimuovendo tutte le 224 applicazioni identificate e aggiornando il suo sistema di protezione, Google Play Protect.
Quest’ultimo è ora in grado di riconoscere e bloccare queste app, avvisando gli utenti che le hanno già installate e offrendo la possibilità di rimuoverle.
Tuttavia, l’episodio solleva interrogativi sulla reale efficacia dei processi di revisione automatizzati del Play Store, che ancora una volta si sono dimostrati aggirabili da tecniche sufficientemente elaborate.
Non è la prima volta che campagne di questa portata riescono a infiltrarsi nello store ufficiale di Android. Appena un mese prima, erano state rimosse 77 applicazioni dannose che contenevano trojan bancari e spyware, a dimostrazione di come il problema sia persistente e in continua evoluzione.
Cosa ci insegna questa vicenda
L’operazione SlopAds non è solo un esempio di frode pubblicitaria, ma anche un segnale delle tendenze future nel campo delle minacce informatiche. Il nome stesso, “SlopAds”, è un riferimento all’uso probabile di strumenti di intelligenza artificiale per generare in massa le applicazioni, che erano spesso di bassa qualità e con funzionalità basilari.
I ricercatori hanno trovato prove che suggeriscono l’impiego di modelli come Stable Diffusion per creare le icone, indicando un processo di produzione semi-automatizzato che è l’esatta antitesi di uno sviluppo di applicazioni professionale, dove la qualità e la sicurezza sono al primo posto. Questo approccio permette di creare e pubblicare un gran numero di app malevole in poco tempo, aumentando le probabilità che qualcuna di esse sfugga ai controlli.
Inoltre, la scoperta di oltre 300 domini promozionali collegati alla campagna suggerisce che le 224 app rimosse fossero solo la punta dell’iceberg di un’operazione destinata a espandersi ulteriormente. La capacità degli aggressori di adattare le proprie tecniche e di sfruttare le zone d’ombra dei sistemi di sicurezza rende la loro minaccia dinamica e difficile da sradicare completamente.
Episodi come questo mettono in discussione il modello di sicurezza centralizzato degli app store, evidenziando come la responsabilità della sicurezza non possa ricadere unicamente sulla piattaforma, ma richieda un’attenzione costante anche da parte degli utenti e della comunità dei ricercatori.
La sfida, per piattaforme come Google, non è solo quella di reagire alle minacce scoperte, ma di anticipare le mosse di avversari che dimostrano una crescente capacità di innovazione.
