Negli ultimi dodici mesi, Google Play ha distribuito più di 200 applicazioni contenenti malware, con un totale di quasi otto milioni di download. La scoperta è stata fatta dai ricercatori di Zscaler, che hanno identificato numerose famiglie di malware presenti sia sullo store ufficiale di Android che su altre piattaforme.
Tra le minacce più diffuse, spiccano Joker, un malware che ruba informazioni e sottoscrive abbonamenti a servizi premium all'insaputa delle vittime, e vari tipi di adware, che consumano risorse del dispositivo per generare visualizzazioni di annunci pubblicitari fraudolenti.
Un'altra minaccia rilevante è Facestealer, un software dannoso che ruba le credenziali di accesso ai social media, sovrapponendo moduli di phishing su app legittime. Oltre a queste, sono stati rilevati malware come Coper, che intercetta messaggi SMS, e Anatsa, un trojan bancario che prende di mira un vasto numero di app finanziarie a livello globale.
I paesi più colpiti da questi tentativi d'attacco
Nonostante i controlli di sicurezza adottati da Google, i criminali informatici riescono ancora a superare i filtri utilizzando tecniche come il "versioning", che permette loro di distribuire il malware attraverso aggiornamenti successivi delle app o tramite server esterni controllati dagli attaccanti. Alcune campagne malware, inoltre, hanno avuto particolare successo: un esempio è Necro, che è stato scaricato più di 11 milioni di volte grazie a due sole applicazioni.
Le categorie di app più frequentemente colpite dal malware includono strumenti, personalizzazione, fotografia e produttività. Nonostante un calo generale delle transazioni bloccate, Zscaler ha rilevato 1,7 milioni di tentativi di infezione al mese. In particolare, lo spyware è in aumento, con minacce come SpyLoan e SpinOK che hanno rappresentato un numero significativo di blocchi.
I paesi più colpiti da questi attacchi sono stati l'India e gli Stati Uniti, seguiti da Canada, Sudafrica e Paesi Bassi. Google ha dichiarato di aver rimosso le app malevole e che Google Play Protect, attivo di default, continua a proteggere gli utenti da queste minacce.