Negli ultimi mesi il panorama della sicurezza mobile è stato scosso dalla scoperta di sofisticate operazioni di frode su dispositivi Android, tra cui spiccano IconAds, Kaleidoscope e una serie di campagne malware che sfruttano sia la pubblicità digitale che tecniche di furto finanziario. Queste minacce colpiscono milioni di utenti in tutto il mondo, sfruttando vulnerabilità del sistema operativo e la diffusione di app malevole sia sul Play Store che attraverso store di terze parti.

Operazione IconAds

L'operazione IconAds ha coinvolto ben 352 applicazioni Android, rimosse da Google Play dopo che sono state individuate per la loro capacità di mostrare pubblicità fuori contesto e nascondere le proprie icone dal launcher del dispositivo, rendendo difficile la disinstallazione da parte degli utenti. Si stima che IconAds generasse oltre 1,2 miliardi di richieste pubblicitarie al giorno, con un traffico prevalente da Brasile, Messico e Stati Uniti. Queste app utilizzano tecniche di offuscamento e alias per nascondere le proprie attività, arrivando persino a impersonare applicazioni legittime come il Play Store di Google.

Kaleidoscope e la tecnica del gemello maligno

Parallelamente, la frode pubblicitaria Kaleidoscope sfrutta la tecnica del gemello maligno. In questa strategia, gli attaccanti creano due versioni quasi identiche della stessa app: una innocua su Google Play e una dannosa, diffusa tramite store di terze parti o siti web falsi. Quest’ultima mostra annunci pubblicitari invasivi, ingannando così gli inserzionisti che pagano per visualizzazioni fraudolente. Kaleidoscope, evoluzione del precedente schema Konfety, punta soprattutto sulle regioni con alta diffusione di store non ufficiali, come America Latina, Turchia, Egitto e India.

Campagne malware orientate alla frode finanziaria

Non meno preoccupanti sono le campagne malware orientate alla frode finanziaria. Alcune famiglie di malware, come NGate e SuperCard X, sfruttano la tecnologia NFC per dirottare i segnali delle carte di pagamento e permettere ai criminali di prelevare contante da bancomat a distanza. Altri, come Ghost Tap, utilizzano dati di carte rubate per registrarle su wallet digitali e realizzare pagamenti contactless fraudolenti.

Qwizzserial e le frodi tramite SMS stealer

In Uzbekistan, una nuova ondata di infezioni ha coinvolto oltre 100.000 dispositivi Android a causa del malware Qwizzserial, un SMS stealer che intercetta codici di autenticazione a due fattori e dati bancari, causando perdite stimate di almeno 62.000 dollari in pochi mesi. Questo malware si diffonde tramite canali Telegram che si spacciano per enti governativi, sfruttando la fiducia degli utenti.

SparkKitty e altri spyware su Android e iOS

Infine, si segnalano campagne che sfruttano app modificate e profili di provisioning per colpire sia Android che iOS, come nel caso di SparkKitty, spyware in grado di rubare immagini e dati sensibili, particolarmente diffuso in Asia sudorientale e Cina.