Vapor: la truffa dell'app Android dannosa che ha devastato Google Play

Ultimo aggiornamento: 21/05/2025
Autore: Isaac
  • Il vapore è riuscito a infiltrarsi Google Gioca con più di 300 applicazioni e 60 milioni Download
  • Inizialmente queste app passavano inosservate, ma poi hanno acquisito capacità dannose, mostrando annunci pubblicitari a schermo intero o rubando credenziali.
  • La sofisticatezza della truffa e la sua persistenza hanno fatto sì che perfino Google Play Protect non riesca sempre a rilevarla.

Malware Android App Vapor

I dispositivi Android sono diventati il ​​bersaglio preferito dei criminali informatici, e pochi esempi lo hanno dimostrato in modo così chiaro come l'inarrestabile campagna dell'app dannosa "Vapor". Per mesi, migliaia di utenti hanno fatto affidamento su applicazioni apparentemente legittime scaricate dall'azienda stessa. Google Play Store, ignari di nascondere una delle minacce più sofisticate e di successo degli ultimi tempi.

In questo articolo analizzeremo approfonditamente cosa rappresenta la famiglia di il malware Vapor, come è riuscito a intrufolarsi nello store ufficiale di Android, quali sono stati i suoi metodi di inganno e di elusione, quali rischi ha rappresentato per gli utenti e, soprattutto, come è possibile individuare e proteggersi da questo tipo di app. Se possiedi o hai posseduto un telefono Android, questa è una lettura obbligata per proteggere la tua privacy e il tuo portafoglio.

L'ascesa del vapore: la campagna che ha ingannato milioni di persone

App dannose su Google Play

All'inizio del 2024, gli esperti di sicurezza hanno individuato una campagna malware senza precedenti, nota come "Vapor", che è riuscita a infiltrarsi nel Google Play Store e a raggiungere numeri di download sbalorditivi. Secondo i report di laboratori come IAS Threat Lab e Bitdefender, inizialmente sono state identificate 180 app interessate, una cifra che è presto salita a 331 app rimosse, anche se il numero effettivo potrebbe essere ancora più alto.

Queste app hanno totalizzato oltre 60 milioni di download complessivi., il che significa che il numero di dispositivi potenzialmente compromessi è enorme. I Paesi più colpiti dalle infezioni sono stati Brasile, Stati Uniti, Messico, Turchia e Corea del Sud, anche se nessun utente Android è risultato completamente al sicuro mentre le app erano attive nello store di Google.

L'aspetto allarmante di Vapor è che i suoi creatori sono riusciti a eludere i meccanismi di sicurezza di Google Play grazie a una strategia tanto semplice quanto efficace.:Al momento del rilascio, le app hanno eseguito esattamente le funzioni promesse (diari, app per la salute, scanner QR, ottimizzatori, ecc.), senza tracce visibili di malware. Tuttavia, dopo l'installazione, ricevevano aggiornamenti da server remoti (C2 o Command & Control) che scaricavano il codice dannoso e ne attivavano tutto il potenziale dannoso, facendo sì che l'utente ora si fidasse dell'app.

A peggiorare la situazione, gli sviluppatori hanno utilizzato più account Google Play, pubblicando solo una manciata di app per account, in modo da distribuire il rischio e rendere difficile la rimozione in massa. Inoltre, ogni app potrebbe utilizzare un diverso SDK pubblicitario, evitando così schemi facilmente rilevabili dai sistemi anti-malware.

Malware SpyLend android-1
Articolo correlato:
SpyLend: il malware Android che ha ingannato oltre 100.000 utenti con false promesse di prestiti

Le app 'Vapor' più scaricate

Le migliori app Android per il vapore

Tra l'elenco delle app compromesse, ne spiccano diverse, che hanno superato il milione di download e che sembrano tutte del tutto innocue. Alcuni dei più popolari erano:

  • Tracciatore dell'acqua – 1 milione di download
  • Scaricatore ClickSave – 1 milione di download
  • Scansione Falco – 1 milione di download
  • Tracker del tempo dell'acqua – 1 milione di download
  • Sii di più – 1 milione di download
  • Guarda Beat – 500.000 download
  • TraduciScansione – 100.000 download
  • Localizzatore di telefoni / Localizzatore di telefoni – 50.000 download
  Cosa posso fare per eliminare la memoria del sistema Android?

La diversità di categorie è fondamentale per la strategia di Vapor: app per la salute e il fitness, diari e gestori di appunti, strumenti per batteria e persino utilità come scanner o localizzatori di codici QR. Tutti hanno mantenuto, almeno inizialmente, la promessa funzionale pubblicizzata, il che ha incoraggiato recensioni positive e download di massa senza destare sospetti.

Rendi trasparente la barra delle applicazioni in Windows 11-2
Articolo correlato:
Guida completa per rendere trasparente la barra delle applicazioni in Windows 11

Metodi di inganno: come le app di Vapor hanno superato le barriere di sicurezza

Malware di elusione della sicurezza

Il successo di Vapor non risiede solo nella sua distribuzione di massa, ma anche nella sua abilità nell'aggirare i controlli di sicurezza di Google e degli utenti stessi. Uno dei meccanismi più ingegnosi è stato quello di utilizzare il file AndroidManifest.xml per disattivare la cosiddetta Launcher Activity, ovvero la schermata principale che si avvia quando si tocca l'icona dell'app.

Perché è così pericoloso? Fondamentalmente perché una volta installata ed eseguita per la prima volta, l'app può causare la scomparsa completa della sua icona dal menu Start., passando completamente inosservato. All'utente sembra che non sia mai esistito, nonostante continui a funzionare in background. A volte venivano addirittura rinominati nelle impostazioni di sistema con nomi neutri come "Google Voice", rendendoli ancora più difficili da rilevare.

Inoltre, le app Vapor si basano su componenti nativi e funzioni nascoste per eseguire automaticamente codice dannoso, senza ulteriore interazione da parte dell'utente.. Utilizzano ContentProvider di Android per ottenere persistenza e aggirare le protezioni critiche implementate nelle versioni moderne del sistema, come Android 13 e versioni successive.

Tra gli altri trucchi, disattivano il pulsante "Indietro" negli annunci pop-up, si rimuovono dall'elenco "Attività recenti" e ottengono l'autorizzazione a sovrapporre finestre, rendendo impossibile chiudere gli annunci a schermo intero e privando l'utente del controllo.

Articolo correlato:
Cosa posso fare per sbarazzarmi del virus Gestyy sul mio dispositivo Android?

Dalla pubblicità ingannevole al furto di dati personali

Pubblicità in app dannose

La maggior parte delle app Vapor erano mirate principalmente alla frode pubblicitaria di massa, nota anche come adware: la visualizzazione di annunci pubblicitari intrusivi per generare entrate fraudolente. Si tratta di numeri assolutamente sproporzionati: alcune analisi indicano più di 200 milioni di richieste di annunci falsi al giorno.

  Esiste un codice di 4 cifre che può essere utilizzato per identificare il numero di modello di un televisore Samsung?

Ma il danno non si limita alla saturazione pubblicitaria.. In molti casi, le app includevano tecniche di phishing molto avanzate: dalla sovrapposizione di schermate di accesso false di Facebook o YouTube ("unghie" agli originali), fino al punto di richiedere i dati bancari e della carta di credito come passaggio preliminare per accedere alla funzionalità promessa.

Le conseguenze dirette di questo tipo di attacco vanno ben oltre il fastidio. Gli aggressori possono rubare credenziali di accesso, informazioni finanziarie e dati personali, causando in ultima analisi gravi perdite finanziarie e furto di identità agli utenti ignari.

Un altro fattore che aggrava la situazione è la capacità di raccogliere dati tecnici dal dispositivo stesso: modello, identificatori, lingua, posizione, utilizzo della batteria e della rete, tutti utilizzati per profilare meglio la vittima e indirizzare attacchi specifici.

Distribuzione ed evoluzione costante: come ricompaiono le minacce

Strategie di distribuzione del malware

Uno degli aspetti più inquietanti della famiglia Vapor è la facilità con cui i criminali informatici si adattano e introducono nuovamente nuove varianti in Google Play, anche dopo la rimozione di un'ondata di app dannose. Utilizzano account sviluppatore usa e getta, combinano diversi SDK pubblicitari e ruotano continuamente nomi e profili.

Inoltre, la distribuzione non è limitata al Play Store ufficiale.Nelle regioni in cui Google Play è limitato o non ampiamente utilizzato (come Cina o India), stanno proliferando negozi alternativi, link per download diretti o addirittura campagne di ingegneria sociale tramite e-mail, SMS o social media.

Non dobbiamo dimenticare altre tattiche di distribuzione presenti nelle campagne malware su Android: allegati infetti, pubblicità dannose (malvertising), siti web che offrono download drive-by, reti P2P o l'uso di crack e aggiornamenti falsi.

Conseguenze per l'utente: sintomi e problemi causati dal vapore

Le infezioni causate dalle app della famiglia Vapor possono causare una lunga lista di problemi, alcuni più evidenti e altri che a prima vista passano inosservati. Tra i sintomi più comuni ci sono:

  • Annunci interstiziali ricorrenti a schermo intero, impossibili da chiudere e completamente fuori contesto.
  • L'icona dell'app dannosa è scomparsa dal pannello delle applicazioni e dalle attività recenti.
  • Diminuzione improvvisa delle prestazioni del dispositivo e della velocità della connessione Internet.
  • Consumo anomalo di dati e batteria, anche quando il dispositivo non è attivo.
  • Reindirizzamento a siti sospetti o di phishing durante l'utilizzo del browser.
  • Richieste di accesso inaspettate a servizi come Facebook, YouTube o altre piattaforme.
  • Difficoltà o impossibilità di disinstallare l'applicazione nel modo convenzionale.
  Quanti livelli ha Homescapes? Tutti i segreti e le novità

Se noti questi comportamenti e non riesci a identificare l'app che li causa, è probabile che il tuo dispositivo sia interessato da una variante di Vapor o di un altro adware simile.

Frode pubblicitaria: come Vapor monetizza i suoi attacchi

Le frodi pubblicitarie rappresentano la principale fonte di guadagno per le app Vapor. Si tratta di generare interazioni false (impressioni, clic) che inducono le reti pubblicitarie a pagare per traffico inesistente o manipolato, a scapito dell'esperienza utente e degli inserzionisti legittimi.

L'impatto economico è enorme, non solo per gli utenti, che subiscono danni ai loro telefoni, ma anche per le agenzie e le aziende che perdono soldi a causa di campagne pubblicitarie fraudolente.

Come rilevare e rimuovere le app Vapor dannose

Rilevare un'app Vapor può essere difficile, poiché queste tendono a nascondersi e mimetizzarsi meglio della maggior parte degli adware sul mercato. Tuttavia, esistono diverse strategie e misure pratiche raccomandate dagli esperti in sicurezza informatica:

  • Confronta l'elenco delle app installate in Impostazioni > App > Visualizza tutte le app con quelle che vedi nel menu principale. Se ce n'è uno che non appare nel launcher, siate sospettosi.
  • Visualizza l'utilizzo della batteria e dei dati delle app. Un'applicazione legittima non dovrebbe mai consumare risorse eccessive senza motivo.
  • Prestate particolare attenzione alle app i cui nomi non vi sono familiari o che hanno cambiato nome (ad esempio, "Google Voice").
  • Se un'app richiede autorizzazioni che non corrispondono alla sua funzione effettiva (ad esempio, un diario sanitario che richiede l'accesso agli SMS o alla fotocamera), disinstallala immediatamente.
  • Utilizza Google Play Protect o un antivirus per dispositivi mobili affidabile per eseguire regolarmente la scansione del tuo dispositivo.
  • Nei casi estremi, avvia il telefono in "Modalità provvisoria" per rimuovere manualmente l'app sospetta, se non riesci a farlo in modalità normale.

Se dopo questi controlli i problemi persistono, esegui una scansione completa con un programma professionale e, se l'infezione persiste, valuta la possibilità di un ripristino delle impostazioni di fabbrica (anche se questa dovrebbe essere l'ultima risorsa).

Articolo correlato:
Come posso disinstallare il pacchetto di accessibilità Android?