È una frustrazione comune a molti utenti Android: la batteria dello smartphone che si prosciugainspiegabilmente a metà giornata, il dispositivo che si surriscalda anche quando è in stand-by o un consumo di dati mobili anomalo rispetto alle proprie abitudini.
Spesso la colpa viene attribuita all’usura dell’hardware o a un sistema operativo poco ottimizzato, ma recenti scoperte nel campo della sicurezza informatica suggeriscono una causa ben più insidiosa.
Dietro questi sintomi potrebbe nascondersi una nuova e sofisticata famiglia di trojan, progettata per generare profitti illeciti attraverso la frode pubblicitaria, che si annida proprio in quelle applicazioni “modificate” tanto ambite dagli utenti per ottenere servizi premium a costo zero.
La famiglia di trojan AI si diffonde tramite lo store Xiaomi e le app “craccate”
Ciò che distingue questa nuova ondata di malware, identificata dai ricercatori di Dr.Web, è l’elevato livello tecnologico impiegato.
Non siamo più di fronte a semplici script che cliccano alla cieca su link nascosti. I cybercriminali hanno effettuato un salto di qualità, integrando modelli di apprendimento automatico basati su TensorFlow, la celebre libreria open-source sviluppata da Google.
Tradizionalmente, i trojan dedicati al “click-fraud” tentavano di interagire con il codice delle pagine web per simulare un click, una tecnica ormai facilmente rilevabile dai moderni sistemi di sicurezza.
La nuova minaccia opera invece in modo molto più simile a un essere umano. Il malware utilizza una modalità definita “phantom”, creando un browser nascosto all’interno di una schermata virtuale invisibile all’utente.
Qui, carica le pagine target e utilizza TensorFlow.js per analizzare visivamente ciò che appare sullo schermo. Il software cattura screenshot della pagina, riconosce gli elementi pubblicitari e decide dove “toccare”.
Questa capacità di vedere e interpretare l’interfaccia rende il malware estremamente resiliente ai cambiamenti di layout dei siti web e molto difficile da distinguere da un utente reale.
Esiste persino una modalità ancora più invasiva, denominata “signalling”, che permette ai criminali di ricevere in tempo reale lo streaming video del browser virtuale tramite WebRTC, consentendo loro di prendere il controllo manuale per scorrere pagine o inserire testo.
Dai giochi sullo store Xiaomi alle mod di Spotify
La strategia di distribuzione è capillare e sfrutta abilmente la fiducia degli utenti. Un vettore di infezione sorprendente è stato individuato in GetApps, lo store ufficiale dei dispositivi Xiaomi.
Qui, diversi giochi apparentemente innocui, come “Theft Auto Mafia” o “Cute Pet House“, nascondevano il codice maligno. Ecco una lista di alcune delle app infette scoperte:
- Theft Auto Mafia – 61.000 download
- Cute Pet House – 34.000 download
- Creation Magic World – 32.000 download
- Amazing Unicorn Party – 13.000 download
- Open World Gangsters – 11.000 download
- Sakura Dream Academy – 4.000 download
La tattica utilizzata è quella del “cavallo di Troia” differito: le app vengono inizialmente caricate sullo store in versione pulita per superare i controlli di sicurezza, ricevendo solo in un secondo momento i componenti dannosi tramite aggiornamenti successivi.
Tuttavia, il canale di diffusione più massiccio riguarda il mondo delle app “mod”, ovvero le versioni alterate di servizi popolari come Spotify, YouTube, Netflix e Deezer, promesse come gratuite e prive di pubblicità.
Portali di terze parti molto frequentati, come Apkmody e Moddroid, sono risultati essere un terreno fertile per questa campagna. I ricercatori hanno notato che la maggior parte delle app presenti nella sezione “Editor’s Choice” di Moddroid era infetta.
La distribuzione si estende anche alle piattaforme di messaggistica: canali Telegram e server Discord con decine di migliaia di iscritti spingono file APK infetti con nomi come Spotify Pro o Spotify X.
Le app sono funzionanti ma i rischi reali
L’aspetto più subdolo di questa minaccia è che le applicazioni scaricate funzionano realmente. L’utente ottiene effettivamente l’accesso alle funzionalità premium promesse, abbassando drasticamente la soglia di sospetto.
Mentre l’ignara vittima ascolta musica senza interruzioni pubblicitarie, il processore del telefono lavora incessantemente in background, gestendo il browser nascosto e l’elaborazione dell’intelligenza artificiale necessaria per frodare i circuiti pubblicitari.
Sebbene questo tipo di frode non miri direttamente al furto di dati bancari o credenziali, l’impatto sull’utente finale è tangibile e costoso.
L’attività continua del malware causa un degrado prematuro della batteria, costretta a cicli di ricarica più frequenti, e può portare a costi imprevisti dovuti all’elevato consumo di traffico dati.
La raccomandazione è ormai sempre la stessa: evitare l’installazione di file APK da fonti non ufficiali e diffidare delle offerte che promettono gratuitamente servizi che normalmente richiederebbero un abbonamento. Il prezzo di quel risparmio, alla fine, lo paga il nostro dispositivo.