Il mondo della pubblicità digitale è da sempre terreno fertile per sofisticate truffe informatiche, ma la recente scoperta della rete fraudolenta "Kaleidoscope" segna un inquietante punto di svolta nel panorama delle minacce per dispositivi Android. A differenza delle tradizionali frodi pubblicitarie, che operano silenziosamente in background senza disturbare l'utente, Kaleidoscope bombarda gli ignari utilizzatori con pubblicità aggressive e impossibili da saltare, creando un'esperienza particolarmente invasiva. Questa rete fraudolenta si distingue per la sua strategia biforcuta: da un lato infiltra il Google Play Store con app apparentemente legittime, dall'altro diffonde versioni malevole attraverso store di terze parti.
Tradizionalmente, le frodi pubblicitarie sono concepite principalmente per danneggiare le aziende inserzioniste. I malintenzionati utilizzano bot e tecniche automatizzate per generare visualizzazioni e clic fittizi, inducendo le aziende a pagare per un'esposizione pubblicitaria che in realtà non esiste. I dispositivi infetti dagli strumenti utilizzati per perpetrare queste frodi possono occasionalmente mostrare segni di rallentamento, ma gli utenti raramente ne percepiscono la presenza, poiché l'attività malevola viene deliberatamente mantenuta invisibile.
Kaleidoscope, invece, adotta un approccio radicalmente diverso. I ricercatori hanno identificato oltre 130 applicazioni associate a questa rete, responsabili di circa 2,5 milioni di installazioni fraudolente ogni mese. La peculiarità di questo sistema risiede nell'utilizzo dello stesso identificativo app (app ID) sia per le versioni legittime distribuite tramite Google Play, sia per quelle malevole disponibili su store alternativi.
Questo stratagemma consente agli operatori della frode di ingannare simultaneamente due categorie di vittime. Da un lato, gli inserzionisti che pensano di pagare per annunci mostrati all'interno di app legittime. Dall'altro, gli utenti che scaricano le versioni da store di terze parti e si ritrovano sommersi da pubblicità invasive e impossibili da chiudere.
I ricercatori hanno evidenziato come Kaleidoscope presenti notevoli similitudini con CaramelAds, un'altra rete di frode pubblicitaria che impiegava app duplicate e condivide significative porzioni di codice e infrastruttura. Secondo gli esperti, è probabile che Kaleidoscope sia stato costruito partendo proprio dalla base di CaramelAds, raffinandone ulteriormente i meccanismi ingannevoli.
"L'app malevola mostra pubblicità invasive fuori contesto sotto le sembianze dell'app benigna, visualizzando immagini e video a schermo intero che si attivano anche senza l'interazione dell'utente", spiegano i ricercatori. Questa caratteristica rende particolarmente disturbante l'esperienza per chi si ritrova con una versione compromessa sul proprio dispositivo.
Fortunatamente, Google Play Protect offre una protezione automatica contro le applicazioni che adottano comportamenti malevoli. I ricercatori non hanno infatti trovato versioni malevole di Kaleidoscope direttamente nel Google Play Store, ma il pericolo rimane elevato per chi scarica app da fonti alternative.
Per difendersi efficacemente dalle minacce legate alle frodi pubblicitarie, è fondamentale adottare alcune precauzioni basilari. Privilegiare sempre il download delle applicazioni dal Google Play Store costituisce la prima linea di difesa contro questo tipo di minacce. Gli store alternativi spesso non implementano gli stessi rigorosi controlli di sicurezza, esponendo gli utenti a rischi significativamente maggiori.
Un altro aspetto cruciale riguarda la gestione dei permessi richiesti dalle applicazioni durante l'installazione. È essenziale valutare criticamente se i permessi richiesti siano effettivamente necessari per la funzionalità dichiarata dell'app. In particolare, la richiesta di "visualizzazione sopra altre app" dovrebbe essere considerata un potenziale segnale d'allarme, poiché potrebbe consentire la visualizzazione di annunci invasivi.
Allo stesso modo, occorre prestare attenzione alle richieste di autorizzazione per l'invio di notifiche provenienti da siti web sospetti. Concedere questo tipo di permesso può portare a un incremento esponenziale del numero di annunci indesiderati nella barra delle notifiche del dispositivo.