Una rete di malware sofisticata ha messo un milione di dispositivi Android a rischio. Gli smartphone vengono sfruttati come strumenti per frodi pubblicitarie. 

Un milioni di dispositivi Android, dalle Tv, ai tablet, fino ai sistemi di infotainment per auto,è stato contraffatto da una rete di malware sofisticata che li trasforma in strumenti per attività illecite sul web, tra cui anche truffe pubblicitarie. Il tutto avviene per mezzo dell’azione online di bot criminali, che compromettono i dispositivi all’oscuro dei proprietari. Nel 2023 era già accaduta una campagna del genere, che viene adesso denominata Badbox 2.0.

Gli Android lowcost: come agisce la Badbox 2.0

La società di cybersicurezza Huma Security ha riportato, in un’intervista con WIRED, dei dati che rivelano come la Badbox 2.0 stia agendo in maniera differente. Nella versione originale, la Badbox si preoccupava di installare dei firmware compromessi prima che i dispositivi venissero acquistati. Adesso, la Badbox 2.0 utilizza tecniche di diffusione malware a livello software.

“Tutto questo accade all’insaputa dei poveri utenti che hanno acquistato il dispositivo solo per guardare Netflix o altro,” spiega Gavin Reid, ceo della Human Security. “Le frodi pubblicitarie, incluse quelle per clic, avvengono tutte dietro le quinte, ma il modo principale in cui monetizzano il milione di dispositivi è rivendendo servizi proxy. Le vittime non sanno di essere utilizzate come proxy, non hanno mai acconsentito a questo, ma vengono sfruttate per tale scopo.”

Spesso i dispositivi colpiti hanno nomi generici e provengono da sottomarche. Inoltre, la maggior parte di questi viene utilizzata in Sud America, soprattutto in Brasile. Le categorie di dispositivi più soggette all’attacco sono categorizzate come “TV98 e “X96“, con sistema Android, ma non facenti parte dell’ecosistema protetto di Google.

Le radici criminali di Badbox 2.0

Secondo i ricercatori, il responsabile non è singolo, ma si dirama in diversi gruppi criminali che realizzano frodi. Ogni gruppo utilizza proprie versioni del malware, distribuendo il software nei dispositivi in maniera diversa. In molti casi, le app contraffatte vengono pre-installate prima dell’acquisto. Più spesso, però, gli utenti vengono inconsapevolmente indotti ad installare le app compromesse dopo l’acquisto.

Una tecnica diffusa è quella della realizzazione di app gemelle. Gli hacker sviluppano un’app benigna per Play Store e poi inducono gli utenti ad installare altre versioni in apparenza uguali a quella ufficiale, non presenti in store ufficiali. In questo modo, gli hacker diffondono le frodi pubblicitarie nelle app benevoli e il software malware in quelle contraffatte. I ricercatori hanno registrato fino a 24 casi di “evil twin”.

“Abbiamo individuato quattro diversi tipi di moduli di frode: due per frodi pubblicitarie, uno per clic falsi e uno per la rete proxy residenziale. Ma il sistema è espandibile. Si può immaginare come, se il tempo fosse continuato e avessero potuto sviluppare più moduli e creare nuove relazioni, ci sarebbe stata l’opportunità di aggiungerne altri” spiega Lindsay Kaye, vicepresidente dell’intelligence sulle minacce di Human.

Le aziende cinesi dietro la truffa Android

Trend Micro, in collaborazione con l’indagine, si è focalizzato su chi esattamente si trova dietro l’azione. “La scala dell’operazione è enorme.” – afferma Fyodor Yarochkin, ricercatore senior di Trend Micro. – “Ci sono facilmente fino a un milione di dispositivi online per qualsiasi gruppo coinvolto, e questo è solo il numero di dispositivi attualmente connessi alla loro piattaforma. Contando tutti i dispositivi che probabilmente hanno il loro payload, il numero potrebbe superare diversi milioni.”

Secondo Yarochkin, sembra che molti dei gruppi criminali collaborino con aziende cinesi di marketing e pubblicità dalla dubbia legalità di azione. Più di 10 anni fa, infatti, in Cina ci furono diversi casi di aziende che installavano plugin sui dispositivi per realizzare le frodi.

“Le aziende che sono sopravvissute a quell’era del 2015 sono quelle che si sono adattate,” spiega Yarochkin. Le sue indagini hanno identificato attività commerciali cinesi che sembrano essere i combutta con dei gruppi coinvolti in Badbox 2.0. “Abbiamo identificato i loro indirizzi, abbiamo visto alcune fotografie dei loro uffici, hanno account di alcuni dipendenti su LinkedIn,” afferma.

Misure di sicurezza

I ricercatori, insieme al gruppo di sicurezza internet Shadow Server, hanno sviluppato una tecnica di “sinkholing” che serve a deviare verso un vuoto l’azione dei bot. Il problema però è che è improbabile che questa misura sia efficiente sulla Badbox 2.0 tanto quanto lo è stata con la Badbox.

Google, intanto, è intervenuto bloccando tutte le attività editoriali del web capaci di generare frodi pubblicitarie. “Attacchi malevoli come quello descritto in questo rapporto sono espressamente vietati sulle nostre piattaforme,” ha dichiarato il portavoce di Google Nate Funkhouser a WIRED. Per i consumatori,  il consiglio di Yarochkin di Trend Micro è quello di: “tenere a mente che se il dispositivo è troppo economico, dovresti essere preparato al fatto che potrebbero esserci sorprese nascoste nel dispositivo. Non esiste formaggio gratis, a meno che il formaggio non sia in una trappola per topi.”

• Autore
• Ultimi Articoli

About Redazione VdC

Ti piacerebbe entrare nella redazione di Voci di Città? Hai sempre coltivato il desiderio di scrivere articoli e cimentarti nel mondo dell’informazione? Allora stai leggendo il giornale giusto. Invia un articolo di prova, a tema libero, all’indirizzo e-mail entrainvdc@vocidicitta.it. L’elaborato verrà letto, corretto ed eventualmente pubblicato. In seguito, ti spiegheremo come iscriverti alla nostra associazione culturale per diventare un membro della redazione.

• Come diventare più esperto con il tuo telefono - 15/06/2026
• “Remember who you are”: Lewis Hamilton trionfa a Barcellona - 15/06/2026
• Un implacabile Antonelli regola Russell e i soliti proclami Ferrari - 09/06/2026
• Taormina Film Festival, selezionato “Un viaggio per incontrare Mimì” - 09/06/2026
• Pistola clandestina nel marsupio: in manette a San Giovanni Galermo un 56enne con numerosi precedenti - 04/06/2026