I Droppers di Malware Android Si Stanno Evolvendo Oltre i Trojan Bancari

I ricercatori di cybersecurity hanno scoperto un preoccupante cambiamento nel mondo del malware Android. Droppers — piccole app apparentemente innocue che segretamente recuperano e installano software dannoso — non sono più limitate alla consegna di potenti trojan bancari. Ora vengono riproposte per diffondere minacce molto più semplici come furti di SMS e spyware, in particolare in Asia.

Per anni, i droppers hanno agito come “fattorini” per malware complessi che necessitavano di un accesso profondo al sistema, come trojan bancari o strumenti di accesso remoto. Tuttavia, secondo un nuovo rapporto della società di sicurezza olandese ThreatFabric, i criminali informatici stanno adattando la stessa tecnica per diffondere malware molto più semplici all’interno di app furtive, trasformando i droppers in strumenti polivalenti per bypassare le ultime difese di Google.

Perché i Droppers Stanno Diventando Più Comuni

I ricercatori di ThreatFabric notano che il cambiamento è legato al nuovo Programma Pilota Play Protect di Google, recentemente lanciato in regioni ad alto rischio come India, Brasile, Thailandia e Singapore.

Il programma scansiona le app prima dell’installazione — in particolare quelle scaricate da fonti esterne al Play Store — e blocca quelle che richiedono permessi sensibili come la lettura degli SMS, l’accesso alle notifiche o il controllo delle funzionalità di accessibilità. Se un’app appare sospetta, viene bloccata prima ancora di poter essere eseguita.

Questa mossa ha reso più difficile per le app dannose entrare nei telefoni. Ma gli attaccanti hanno trovato una scappatoia. Invece di spedire codice dannoso direttamente, lo nascondono all’interno di droppers che sembrano innocui all’inizio. Queste app richiedono permessi minimi, mostrano un falso avviso di “aggiornamento” e superano senza problemi le scansioni iniziali di Google. Solo dopo che gli utenti toccano Aggiorna il vero malware viene installato in background, richiedendo i potenti permessi di cui ha bisogno.

“Incorporando anche payload di base all’interno di un dropper, guadagnano un guscio protettivo che può eludere i controlli odierni rimanendo abbastanza flessibile da cambiare payload e pivotare le campagne domani,” ha scritto ThreatFabric in un post sul blog la settimana scorsa.

RewardDropMiner e Altre Minacce

I ricercatori di ThreatFabric hanno evidenziato un caso chiamato RewardDropMiner. Era originariamente progettato per consegnare spyware mentre estraeva silenziosamente criptovaluta in background. Tuttavia, nella sua ultima versione, le funzionalità di mining sono state rimosse, lasciando solo la funzionalità di dropper. Questo approccio più snello rende il malware più difficile da rilevare, pur consentendo agli attaccanti di consegnare segretamente spyware o altre app dannose.

App false legate a RewardDropMiner sono state trovate a impersonare servizi indiani popolari come PM Yojana 2025, SBI Online, Axis Card e persino utilità legate al governo.

Altre famiglie di dropper come SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper e TiramisuDropper sono anch’esse attive, utilizzando trucchi simili per eludere i controlli di sicurezza di Google e diffondere malware bancari o spyware tramite siti web falsi o persino tramite app di messaggistica.

Il Gioco del Gatto e del Topo Continua

Mentre Google afferma che nessuna di queste app è stata distribuita tramite il Play Store e che Play Protect continua a bloccare minacce note, gli esperti avvertono che i droppers si stanno evolvendo in installatori universali di malware.

“I droppers si sono evoluti da strumenti di nicchia per malware bancari di alto livello a installatori universali per quasi qualsiasi tipo di app dannosa che può essere grande o piccola e che deve semplicemente superare le difese regionali,” ha aggiunto ThreatFabric.

Cosa Possono Fare gli Utenti

Il cambiamento sottolinea la continua corsa agli armamenti tra i difensori della sicurezza e i criminali informatici. Per Google e la comunità di sicurezza più ampia, segnala la necessità di continuare a evolvere i metodi di rilevamento mentre gli attaccanti affinano le loro tattiche.

Per gli utenti Android quotidiani, è un promemoria che la vigilanza è la prima linea di difesa: installare app solo da fonti fidate, essere cauti con le app che richiedono permessi insoliti, rimanere all’erta per avvisi sospetti, specialmente falsi “aggiornamenti”, e pensarci due volte prima di caricare app da siti web di terze parti.