Aggiornamenti recenti Gennaio 12th, 2026 3:38 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Black Axe, arrestati oltre trenta individui legati alla cybergang
- CERT-AGID 3-9 gennaio: phishing e malware aprono il 2026
- Ghost Tap: scoperte frodi tap-to-pay che sfruttano l’NFC per abilitare pagamenti da remoto
- Nuova ondata di attacchi GoBruteforcer, l’IA sfruttata per il brute-force
- Due estensioni Chrome hanno compromesso le chat di ChatGPT e DeepSeek
IconAds: quando le app fantasma diventano portali pubblicitari
Recentemente il team Satori Threat Intelligence di HUMAN ha scoperto un’operazione sofisticata di pubblicità fraudolenta nota come IconAds che coinvolge ben 352 app Android progettate per ingannare l’utente e sfuggire ai controlli. Al picco della sua attività, questa rete generava circa 1,2 miliardi di richieste pubblicitarie al giorno, un volume impressionante per una campagna malevola in the wild (Human Security).
La peculiarità più preoccupante di IconAds è la capacità di dissimulare la propria presenza sul dispositivo: l’icona delle app veniva sostituita da un elemento trasparente e il nome veniva azzerato. L’utente, trovandosi davanti a una schermata apparentemente vuota, non poteva individuare l’app responsabile del comportamento intrusivo, né rimuoverla con facilità.
IconAds non è un fenomeno isolato, ma si inserisce in un filone iniziato già nel 2023, con operazioni note come HiddenAds e Vapor. In quel primo stadio i volumi di traffico fraudolento erano inferiori, nell’ordine delle decine di milioni di richieste al giorno, ma con l’evoluzione in IconAds gli attori malevoli hanno moltiplicato i volumi e perfezionato le tecniche di evasione.
Tecniche di offuscamento a più livelli
Gli sviluppatori hanno messo in atto sofisticate tecniche anti-analisi, camuffando il codice con metodi dai nomi casuali composti da zeri e “O”. Le librerie native utilizzavano l’offuscamento O-MVLL, e le stringhe inviate ai server C2 venivano trasformate in parole inglesi casuali, rendendo difficile l’individuazione delle informazioni trasmesse. Il livello di complessità raggiunto rendeva l’analisi quasi impossibile senza una visione d’insieme coordinata.
Ogni app collegata a IconAds comunicava con un dominio di comando e controllo dedicato, caratterizzato da sottodomini generati in modo sistematico. Le comunicazioni avvenivano tramite JSON con chiavi casuali e dati sul dispositivo. Questa frammentazione delle infrastrutture C2 ha reso particolarmente ardua l’attribuzione e la neutralizzazione delle app fraudolente, sebbene gli analisti di HUMAN siano riusciti a individuarne le tracce attraverso pattern ricorrenti.
Una delle tecniche più subdole adottate da IconAds è l’uso degli alias per l’attività principale dell’applicazione. Al primo avvio, veniva attivato un alias e disattivato il componente principale, facendo “scomparire” l’app dallo spazio visibile della schermata home. In questo modo, anche se l’utente voleva cancellarla, non riusciva nemmeno a trovarla tra le app installate.
L’azione dell’intera operazione risultava molto efficace per i criminali. Alcune app, come “com.works.amazing.colour”, caricavano pubblicità interstiziali a schermo intero pochi secondi dopo l’avvio, senza alcuna interazione da parte dell’utente, attivandole da timer o da comandi remoti. La visualizzazione forzata generava profitti ingenti, simulando un comportamento legittimo agli occhi degli inserzionisti, pur essendo completamente fraudolenta.
Impatto globale e risposta al fenomeno
La diffusione delle app malevole è stata globale, con picchi particolarmente elevati in Paesi come Brasile, Messico e Stati Uniti. Google ha reagito rapidamente rimuovendo le 352 app dallo store e attivando Play Protect per proteggere i dispositivi già infettati. HUMAN, dal canto suo, ha aggiornato la sua piattaforma Ad Fraud Defense, bloccando quasi in tempo reale il traffico generato da IconAds.
Nonostante l’intervento di Google, IconAds continua a evolversi, e nuove varianti vengono sviluppate per eludere le misure di difesa. Il team Satori è ancora impegnato nel monitoraggio dell’infrastruttura, cercando di anticipare i nuovi sviluppi. Solo un approccio proattivo e collaborativo tra aziende di sicurezza e fornitori di servizi può arginare efficacemente minacce di questo livello.
Condividi l'articolo
- ad fraud Android, app fantasma, comando e controllo C2, IconAds, malware Play Store, offuscamento codice, pubblicità fraudolente, Satori HUMAN Security, sicurezza mobile, truffe pubblicitarie Android
Due vulnerabilità in Sudo mettono a rischio Linux: una consente l’accesso root
Ransomware e conflitti d’interesse: ex negoziatore sotto inchiesta per presunti legami con i cybercriminali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che... -
Il cybercrime si evolve e si adatta, integrando l’IA... Il secondo semestre del 2025 ha segnato un punto di svolta...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Black Axe, arrestati oltre trenta individui legati alla... La Polizia Nazionale spagnola, in collaborazione con la... -
CERT-AGID 3-9 gennaio: phishing e malware aprono il 2026 Nel periodo compreso tra il 3 e il 9 gennaio,... -
Ghost Tap: scoperte frodi tap-to-pay che sfruttano... I ricercatori di Group-IB hanno individuato Ghost Tap, una... -
Nuova ondata di attacchi GoBruteforcer, l’IA... I ricercatori di Check Point Research hanno individuato una... -
Due estensioni Chrome hanno compromesso le chat di ChatGPT... I ricercatori di OX Security hanno individuato due...
Ransomware: la serie
No posts found.