Una vasta rete di applicazioni Android malevole, nota come IconAds, è stata recentemente scoperta e smantellata da esperti di sicurezza. Ben 352 app, presenti fino a poco tempo fa sul Play Store di Google, sono state rimosse dopo aver rivelato un comportamento scorretto e fastidioso: inondare gli utenti di pubblicità invasive e fraudolente.
Non si tratta del classico malware volto a rubare dati o soldi, ma di un adware particolarmente sofisticato, progettato per generare traffico pubblicitario illecito e rendere quasi impossibile la sua rimozione da parte degli utenti meno esperti. Il modus operandi di IconAds è subdolo. Dopo l’installazione, le app coinvolte nascondevano la propria icona dalla schermata principale dello smartphone, diventando così invisibili e difficili da disinstallare. Questo trucco impediva agli utenti di eliminare facilmente il software indesiderato, che generava fino a 1,2 miliardi di richieste pubblicitarie al giorno, soprattutto in paesi come Brasile, Messico e Stati Uniti.
Gli annunci pubblicitari venivano mostrati in modo invasivo, spesso a schermo intero e fuori contesto, peggiorando significativamente l’esperienza d’uso. La complessità di IconAds va oltre il semplice l’esagerata esibizione pubblicitaria. Queste app utilizzano tecniche avanzate di offuscamento per nascondere le proprie attività e resistono anche al riavvio dello smartphone.
Alcune versioni addirittura imitano icone e nomi di app ufficiali di Google, come il Play Store, ingannando ulteriormente gli utenti. Quando l’utente clicca sull’icona fasulla, viene reindirizzato all’app reale, mentre in background l’adware continua la sua attività fastidiosa. Nonostante Google abbia già rimosso le app malevole dal Play Store, il problema persiste: l’azienda non può intervenire da remoto per eliminare le app già installate nei dispositivi degli utenti, che devono procedere manualmente.
Per questo motivo è fondamentale prestare attenzione alle app scaricate e seguire le indicazioni degli esperti per rimuovere eventuali minacce. Parallelamente, i ricercatori hanno individuato un’altra rete di adware chiamata Kaleidoscope, diffusa soprattutto nei paesi arabi, in India, Egitto e Turchia. Questa operazione utilizza una tecnica chiamata “evil twin”, in cui viene pubblicata una versione legittima di un’app sul Play Store, mentre la copia contraffatta, contenente adware insistenti, viene distribuita tramite store alternativi o siti falsi. Gli utenti che installano la versione contraffatta subiscono la sortita di annunci fuori contesto, compromettendo sia la loro esperienza sia la genuinità delle visualizzazioni pubblicitarie.