/https://www.html.it/app/uploads/2025/03/Google-9.jpg)
/https://www.html.it/app/uploads/2025/03/Apple-1.jpg)
Queste app fanno parte di una frode per rubarci informazioni personali e numeri delle carte: come funziona "Vapor"
331 app e 60 milioni di dispositivi infettati: sono i numeri di una vera e propria frode messa in atto...L'articolo Queste app fanno parte di una frode per rubarci informazioni personali e numeri delle carte: come funziona "Vapor" sembra essere il primo su Smartworld.
331 app e 60 milioni di dispositivi infettati: sono i numeri di una vera e propria frode messa in atto sul Play Store per cercare di sottrarre agli utenti informazioni personali e numeri delle carte di credito tramite phishing.
A scoprirlo, i ricercatori di sicurezza di IAS Threat Lab, che avevano identificato 180 app e nominato lo schema fraudolento come Vapor. A questo poi è seguito un rapporto dei ricercatori del popolare antivirus Bitdefender, che hanno non solo aumentato il numero di app interessate, ma hanno anche svelato i Paesi più colpiti dal fenomeno: Brasile, Stati Uniti, Messico, Turchia e Corea del Sud.
Questo attacco è particolarmente subdolo, in quanto sfrutta una vulnerabilità del sistema di sicurezza introdotto con Android 13. In pratica dopo aver installato l'app dannosa dal Play Store, questa si avvia senza interazione da parte dell'utente.
Non solo, ma le app diventano praticamente "invisibili" sul telefono. Questo perché nascondono la loro icona tramite l'abilitazione di un componente per disabilitare il launcher e creano una schermata secondaria si sovrappone al launcher a tutto schermo. Per farlo, il malware bypassa le restrizioni di autorizzazione "SYSTEM_ALERT_WINDOW" su Android 13+.
A questo punto l'app inizia a mostrare degli annunci e l'utente non è in grado di uscire, in quanto anche il gesto o il pulsante Indietro non funziona più. Secondo Bitdefender alcune di queste app vanno oltre le frodi pubblicitarie, e mostrerebbero false schermate di accesso per Facebook e YouTube per rubare le credenziali o richiedere agli utenti di inserire le informazioni sulla carta di credito con vari pretesti.
L'utente cercherà quindi di attivare la galleria delle app recenti per individuare il problema, ma anche questo non funziona, in quanto le app celano la loro attività di avvio nel file AndroidManifest.xml dopo l'installazione.
Tutto questo è possibile grazie a una vulnerabilità delle protezioni di sicurezza sui telefoni con Android 13 e successivi che in teoria impediscono alle app di disabilitare dinamicamente le proprie attività di avvio una volta attive.
E se anche andassimo a cercarle nelle Impostazioni per disinstallarle non le troveremmo, in quanto si rinominano per apparire come app legittime nelle Impostazioni (ad esempio, Google Voice).
Le app coinvolte in questo schema sono 331, e fortunatamente sono già state eliminate dal Play Store all'inizio del 2025 dietro segnalazione dei ricercatori di sicurezza, e Google ha attivato gli avvisi Play Protect per avvertire gli eventuali utenti colpiti.
Nondimeno, il numero di dispositivi colpiti è così elevato che potrebbe valer la pena controllare. Le app di questo tipo sono infatti iniziate ad apparire sul Play Store nel 2022, e la maggior parte sono state pubblicate da diversi account sviluppatore a fine 2024.
Come dicevamo, i Paesi più colpiti sono stati Brasile, Stati Uniti, Messico, Turchia e Corea del Sud, ma con 60 milioni di dispositivi infettati e oltre 200 milioni di impressioni pubblicitarie fraudolente generate ogni giorno, è meglio essere sicuri.
Queste sono alcune delle app più scaricate e il relativo numero di download, ma potete trovare l'elenco completo a questo indirizzo:
- AquaTracker: 1 milione di download
- ClickSave Downloader: 1 milione di download
- Scan Hawk: 1 milione di download
- Water Time Tracker: 1 milione di download
- Be More: 1 milione di download
- BeatWatch: 500.000 download
- TranslateScan: 100.000 download
- Handset Locator: 50.000 download
Inutile dire che se scoprite di avere una di queste app, rimuovetele immediatamente ed eseguite una scansione completa del sistema con Google Play Protect, che comunque dovrebbe essere attivo per impostazione predefinita e avervi già avvisato.
Per proteggersi, è sempre bene diffidare di app di sviluppatori sconosciuti o con funzionalità come scanner QR o utilità di base o per sfondi. Controllate sempre le autorizzazioni richieste, ed eventualmente andate in Impostazioni > App > Mostra tutte le app e verificate che l'app sia presente con il suo nome. Eventualmente cercate app duplicati di Google o altri sviluppatori noti.
L'articolo Queste app fanno parte di una frode per rubarci informazioni personali e numeri delle carte: come funziona "Vapor" sembra essere il primo su Smartworld.
