Negli ultimi tempi, le campagne di malware mobile hanno raggiunto livelli di sofisticazione sempre più elevati, con particolare attenzione agli utenti Android e iOS in Asia. Recenti ricerche nel settore della sicurezza informatica hanno infatti evidenziato una vasta operazione malevola, nota come SarangTrap, che sfrutta app fasulle di incontri, social network, cloud storage e servizi auto per sottrarre dati personali agli utenti.

Questa minaccia cross-platform si concentra soprattutto sulla Corea del Sud, ma coinvolge più di 250 applicazioni Android e oltre 80 domini fraudolenti, sapientemente camuffati da app legittime di social media e servizi di incontri. Questi domini ingannano gli utenti spingendoli all’installazione di app malevole che, una volta avviate, richiedono permessi invasivi per accedere a SMS, contatti, foto e file, tutto sotto la copertura di funzionalità apparentemente autentiche.

Il meccanismo di attivazione della componente malevola avviene spesso tramite l’inserimento di un codice invito, una strategia che consente di eludere molte analisi automatiche e antivirus. Per i dispositivi iOS, la campagna convince le persone a installare profili di configurazione manipolati, che servono a facilitare l’installazione di app dannose e l’esfiltrazione di dati sensibili.

Gli operatori dietro queste attività non si limitano al furto di dati: in alcuni casi, hanno minacciato di ricattare le vittime divulgando immagini o video personali. Questa dinamica sfrutta tecniche di ingegneria sociale e manipolazione psicologica, approfittando delle vulnerabilità emotive degli utenti, spesso attirati dalla promessa di compagnia o servizi esclusivi.

Altri esempi di campagne e tecniche avanzate

Oltre a SarangTrap, sono emerse campagne che diffondono app fraudolente tramite domini in lingua cinese, spesso spacciandosi per Telegram o servizi bancari, specialmente rivolte a utenti indiani, del Bangladesh e del Vietnam. Queste app simulano processi di registrazione o transazioni, ma in realtà mirano esclusivamente alla raccolta di informazioni finanziarie e personali.

Alcuni malware, come RedHook, sono dotati di funzionalità avanzate come keylogging, controllo remoto tramite WebSocket e utilizzo di API Android legittime per eludere i sistemi di sicurezza. È stato inoltre osservato l’impiego di strumenti open source come ApkSignatureKillerEx per alterare la verifica delle firme delle app e inserire payload dannosi, mantenendo l’apparenza di pacchetti regolari.

Il fenomeno è reso ancora più preoccupante dalla diffusione di kit malware-as-a-service, che permettono anche a chi ha poche competenze tecniche di lanciare campagne su larga scala, e dai marketplace che vendono accesso a dispositivi già infetti.

Consigli di difesa

Per difendersi da queste minacce, è fondamentale evitare app che richiedono permessi insoliti o codici invito, non scaricare applicazioni da store non ufficiali e controllare regolarmente le autorizzazioni e i profili installati sul proprio dispositivo.