Recentemente, i ricercatori di sicurezza informatica hanno scoperto una campagna di frode pubblicitaria su larga scala che ha sfruttato centinaia di app malevole pubblicate su Google Play Store. Queste app, oltre a visualizzare annunci a schermo intero, hanno condotto attacchi di phishing per persuadere le vittime a fornire credenziali e informazioni sulle carte di credito. Secondo un rapporto di Bitdefender, queste app visualizzano annunci fuori contesto e cercano di ingannare le vittime per rubare dati sensibili.

La campagna "Vapor"

La campagna, denominata "Vapor", è stata inizialmente rivelata da Integral Ad Science (IAS), che ha documentato la scoperta di oltre 180 app progettate per distribuire video pubblicitari a schermo intero in modo invadente e continuo. Queste app, ora rimosse da Google, si presentavano come legittime e hanno accumulato oltre 56 milioni di download, generando più di 200 milioni di richieste di offerta al giorno.

I truffatori dietro l'operazione Vapor hanno creato più account di sviluppatori, ciascuno ospitando solo un piccolo numero di app, per distribuire la loro operazione e sfuggire al rilevamento. Questo setup distribuito assicura che la chiusura di un singolo account abbia un impatto minimo sull'operazione complessiva.

La campagna continua, con l'ultima app malevola pubblicata su Google Play Store nella prima settimana di marzo 2025. I truffatori utilizzano una tecnica chiamata "versioning", che comporta la pubblicazione di un'app funzionale senza funzionalità malevole iniziali, per superare il processo di verifica di Google. Le funzionalità malevole vengono poi introdotte negli aggiornamenti successivi, sostituendo le caratteristiche legittime con tattiche per massimizzare i ricavi pubblicitari tramite video.

Impatto della campagna

Inoltre, queste pubblicità prendono il controllo dell'intero schermo del dispositivo, impedendo alla vittima di utilizzare il dispositivo stesso. Si stima che la campagna sia iniziata intorno ad aprile 2024, espandendosi notevolmente all'inizio di quest'anno, con oltre 140 app false caricate su Play Store solo tra ottobre e novembre.

Le ultime scoperte dimostrano che la campagna è più ampia di quanto si pensasse, con 331 app che hanno accumulato più di 60 milioni di download complessivi. Alcune delle app identificate tentano anche di raccogliere dati delle carte di credito e credenziali degli utenti per servizi online mostrando pagine false. Il malware è capace di esfiltrare informazioni del dispositivo verso un server controllato dall'attaccante.

Tecniche di elusione

Un'altra tecnica usata per evitare il rilevamento è l'uso del "Leanback Launcher", un tipo di launcher progettato specificamente per dispositivi TV basati su Android, che cambia il proprio nome e icona per impersonare Google Voice.

Bitdefender ha sottolineato che gli attaccanti hanno trovato un modo per nascondere le icone delle app dal launcher, il che è limitato nelle iterazioni più recenti di Android. Si ritiene che la campagna sia opera di un singolo attore minaccioso o di diversi cybercriminali che utilizzano lo stesso strumento di impacchettamento pubblicizzato nei forum underground.

Google ha rimosso tutte le app incriminate dal Play Store e ha ricordato che gli utenti di Android sono automaticamente protetti da Google Play Protect, attivo di default sui dispositivi Android con Google Play Services.