Il panorama delle minacce informatiche su Android è in rapida evoluzione, con i cybercriminali che affinano le loro tecniche per eludere i controlli di sicurezza. Recentemente, i ricercatori hanno osservato un cambiamento significativo: le app dropper, tradizionalmente impiegate per diffondere trojan bancari, vengono ora sfruttate anche per rilasciare malware più semplici come SMS stealer e spyware di base. Questa transizione riflette la volontà degli attaccanti di aggirare le nuove difese implementate da Google, in particolare nei mercati asiatici come India, Singapore, Thailandia e Brasile.

Campagne malevole e tecniche di diffusione

Le campagne malevole sfruttano app dropper mascherate da applicazioni governative o bancarie, spesso diffuse tramite canali esterni al Play Store, come siti di terze parti o link condivisi su social e messaggistica. Queste app spesso non richiedono inizialmente permessi sospetti, mostrando semplici schermate di aggiornamento per superare i controlli di Google Play Protect e dei nuovi programmi pilota di sicurezza. Solo dopo che l’utente interagisce, ad esempio cliccando su un pulsante di “Update”, viene scaricato il payload malevolo da server esterni, che poi richiede i permessi necessari per agire sul dispositivo.

Esempi e principali dropper in circolazione

Un esempio recente è RewardDropMiner, un dropper che ha diffuso sia spyware sia, in passato, un miner per Monero attivabile da remoto. Tra le app malevole veicolate da questo dropper spiccano nomi come PM YOJANA 2025, RTO Challan, SBI Online e Axis Card, tutte mirate principalmente a utenti indiani. Altri droppers noti che cercano di eludere i controlli di sicurezza sono SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper e TiramisuDropper.

Risposta di Google e rischi residui

Google ha dichiarato di non aver rilevato queste minacce sul Play Store, sottolineando l’efficacia delle protezioni di Play Protect. Tuttavia, rimane un punto critico: se l’utente ignora gli avvisi di sicurezza e procede con l’installazione, il malware può comunque penetrare nel sistema.

Malvertising e campagne multicanale

Parallelamente, laboratori come Bitdefender hanno segnalato campagne malvertising che sfruttano annunci su Facebook per promuovere finte versioni gratuite di app di trading, veicolando trojan bancari avanzati come Brokewell. Questa strategia ha già colpito decine di migliaia di utenti, non solo su Android ma anche su Windows, evidenziando come il cybercrimine sia sempre più orientato verso campagne multicanale e sofisticate.

In questo scenario, mantenere alta l’attenzione, aggiornare costantemente i dispositivi e diffidare di app e aggiornamenti provenienti da fonti non ufficiali resta fondamentale per la sicurezza mobile.