Scoperta da IAS Threat Lab, la frode “Mirage” ha colpito milioni di utenti Android camuffandosi in app popolari e di uso diffuso, manipolando classifiche e generando traffico pubblicitario illecito
Il panorama delle applicazioni mobili è stato recentemente scosso dalla scoperta di “Mirage“, un sofisticato schema di frode che ha preso di mira specificatamente applicazioni di salute, fitness e utility sull’Android App Store. Rilevato e analizzato dall’IAS Threat Lab, il centro di ricerca di Integral Ad Science (IAS), questa operazione ha trasformato strumenti apparentemente benefici in veicoli per una pubblicità invasiva, compromettendo milioni di dispositivi.
L’inganno dietro strumenti quotidiani
Al centro dello schema “Mirage” vi erano centinaia di app, camuffate da strumenti utili come pulitori di sistema, ottimizzatori di batteria, booster, fitness e salute. Inizialmente, queste applicazioni si presentavano in modo legittimo e funzionavano come promesso, ingannando gli utenti e anche i sistemi di verifica. Tuttavia, questa apparente normalità era una facciata. Il comportamento fraudolento si attivava solo in determinate condizioni, ad esempio dopo essere state installate tramite specifici link pubblicitari.
Una volta attivate, le app “Mirage” prendevano il controllo dei dispositivi, trasformandoli in generatori di pubblicità interstiziale a schermo intero, che comparivano in momenti inopportuni, anche a dispositivo inattivo o durante l’uso di altre applicazioni non correlate. L’obiettivo era chiaro: massimizzare la monetizzazione tramite l’utente, senza fornire alcuna funzionalità autentica. La ricerca ha stimato che oltre 300 ID di app legate a “Mirage” hanno generato più di 70 milioni di download e oltre 350 milioni di richieste di offerta pubblicitaria al giorno.
Tattiche avanzate di manipolazione
Gli operatori di “Mirage” hanno dimostrato una notevole capacità di adattamento, evolvendo da schemi precedenti come “Vapor”. Tra le tattiche impiegate:
- Cloaking sofisticato: L’app si presentava innocua ai primi controlli, svelando la sua natura malevola solo in un secondo momento.
- Manipolazione delle classifiche: Un aspetto cruciale è stato l’uso di installazioni false generate da bot e “install farm” per gonfiare artificialmente i numeri di download. Questo permetteva alle app di scalare rapidamente le classifiche del Google Play Store, apparendo tra le “app di tendenza” e ingannando gli utenti reali.
- Riuso di account developer: L’operazione ha fatto leva su una vasta rete di account developer, spesso nuovi o riciclati, per distribuire le app e eludere i controlli. Sono stati identificati anche “recidivi” dallo schema “Vapor” che hanno ripubblicato lo stesso codice app con modifiche minime sotto nuovi nomi.
La diffusione geografica di “Mirage” ha aggravato la situazione, con app comparse nelle classifiche principali in Nord America, Europa e Asia-Pacifico, supportate da campagne pubblicitarie multilingue.
La risposta e la lotta alla frode
L’IAS Threat Lab ha collaborato strettamente con Google per contrastare “Mirage”. La condivisione di informazioni ha portato alla rimozione di tutte le app fraudolente identificate dalla piattaforma. Inoltre, Google Play Protect ora avviserà gli utenti e disabiliterà automaticamente queste app, anche se installate da fonti esterne.
Per consultare il report su Mirage