Immagina che il tuo smartphone, mentre è appoggiato sul tavolo in standby, stia segretamente aiutando dei criminali informatici dall’altra parte del mondo a compiere i loro traffici. Non è la trama di un film distopico, ma la realtà per circa 9 milioni di utenti Android.
Google ha recentemente annunciato di aver sferrato un colpo decisivo contro una delle più vaste reti di “proxy residenziali” al mondo, gestita da una società cinese chiamata Ipidea. L’operazione ha messo fine a un sistema ingegnoso che trasformava dispositivi di utenti comuni in strumenti per l’anonimato criminale.
Il tuo smartphone come complice involontario degli hacker
Il meccanismo scoperto dagli esperti di sicurezza era tanto semplice quanto insidioso. Tutto iniziava con il download di app apparentemente innocue dal Google Play Store: giochi gratuiti, utility o app per sfondi. All’insaputa degli utenti, però, queste applicazioni contenevano un codice nascosto (un SDK malevolo).
Una volta installata l’app infetta, il telefono della vittima si trasformava in un “ponte” o un gateway. In pratica, gli hacker e i criminali informatici che pagavano Ipidea potevano far passare il loro traffico internet attraverso la connessione dati o Wi-Fi dell’utente ignaro.
Perché farlo? Per nascondersi. Agli occhi dei siti web visitati o dei sistemi attaccati, l’attività non proveniva da un criminale noto, ma dall’indirizzo IP di una persona comune, rendendo difficilissimo tracciare la vera origine dell’attacco. Inoltre, gli operatori della rete sfruttavano gratuitamente la banda larga degli utenti.
La situazione è peggiorata ulteriormente quando una parte di questi dispositivi infetti (circa due milioni) è stata dirottata per creare “Kimwolf“, una potente botnet utilizzata per lanciare massicci attacchi DDoS, progettati per mandare offline siti e servizi web inondandoli di traffico spazzatura.
L’intervento di Google e come difendersi
Fortunatamente, Google non è rimasta a guardare. Grazie a un ordine di un tribunale federale statunitense, l’azienda ha potuto agire direttamente sull’infrastruttura di Ipidea, disattivandone i server e i siti web. Parallelamente, Google ha ripulito il Play Store rimuovendo le app infette e ha aggiornato Google Play Protect.
Questo sistema di sicurezza integrato ora è in grado di riconoscere il codice malevolo di Ipidea, avvisare gli utenti e rimuovere automaticamente le app pericolose.
Sebbene questa specifica minaccia sia stata neutralizzata, il metodo delle “app civetta” rimane popolare tra i malintenzionati. Per proteggersi in futuro, la regola d’oro è sempre la diffidenza: se un’app complessa è totalmente gratuita e proviene da uno sviluppatore sconosciuto, chiediti come si finanzia. Controlla sempre i permessi richiesti (un semplice gioco non dovrebbe aver bisogno di accedere alla tua rubrica o alla gestione della rete) ed elimina regolarmente le applicazioni che non usi più per ridurre i rischi.
