I cybercriminali adorano Android. Sarà per la sua natura di software aperto che lo rende facilmente interpretabile, sarà per i minori limiti che impone alle app o semplicemente perché di gran lunga il più diffuso sul mercato (Comscore ha stimato che a luglio 2015 il 70% degli smartphone del mondo fossero basati sul sistema operativo di Google), fatto sta che il numero di malware scritti per questa piattaforma è in continua e rapidissima ascesa.

Secondo il Mobile Malware Report per il secondo trimestre del 2015, stilato da G DATA, ogni giorno vengono rilasciati oltre 6100 nuovi malware, circa il 25% in più di quanto non accadesse solo sei mesa fa.

Ma non è solo il numero dei malware a preoccupare. Secondo il rapporto, infatti, è anche la qualità del codice che sta migliorando, rendendo le minacce più efficaci e più difficili da identificare ed eliminare.

In particolare, è in crescita il numero di PUP, Potentially Unwanted Programs, cioè App che non avremmo installato se avessimo saputo cosa sono davvero.

Un esempio lampante è quello di Android.Monitor.Gsyn.B, una app che finge di essere un gestore del servizio di Google Drive mentre non fa altro che spiare l'utente.

Grazie alla sua icona identica a quella di Google Drive, è stato scaricato e installato molte centinaia di migliaia di volte, ma una volta avviato si limita a mantenere aperti una serie di canali che permettono di ascoltare le chiamate dell'utente, copiare i contatti, tracciarne la posizione, scattare e inviare foto, registrare rumori e conversazioni tramite il microfono, leggere e mandare SMS, disabilitare eventuali software antivirus, monitorare le chat più comuni, leggere la history del browser.

Ovviamente i server di comando e controllo di questi spyware non sono aperti a tutti e molte di queste versioni non sono altro che versioni "beta" di malware che verrà poi usato in campagne mirate di cyberspionaggio, ma la fuga di dati spesso si verifica anche su larga scala.

Quando queste app appaiono sul market ufficiale di Google, vengono solitamente riconosciute ed eliminate in tempi brevissimi, ma sui market alternativi resistono anche dei mesi, continuando a infettare utenti.

Un alto campo relativamente nuovo in cui si sta facendo strada il cybercrimine, sempre secondo il report di G DATA, è quello del malware preinstallato sui dispositivi.

È una eventualità rara, ma di tanto in tanto si trova qualche dispositivo che arriva già infetto dalla fabbrica. Gli esperti di G DATA, che hanno condotto una ricerca approfondita in questo campo, sono giunti alla conclusione che il malware o lo spyware non vengano installati consapevolmente dal produttore, ma da qualcuno che lavora nella filiera della creazione del software.

Riuscire a inserire uno spyware o un sistema che dirotti la pubblicità mostrata sui siti verso banner di proprietà del cybercriminale può fruttare molti soldi se si riesce a colpire un modello che verrà distribuito in milioni di esemplari e non è semplice capire chi aggiunge le linee di codice "truffaldine".

Di solito, chi commette questo tipo di infrazione manipola una app lecita, tipo quella di Facebook che si trova molto spesso preinstallata, e la aggiunge alla dotazione del telefono. In questo modo, tutta la pubblicità che viene mostrata durante la navigazione sul social network può esser dirottata verso fonti che rappresentino degli introiti per il criminale.