Individuata una famiglia di malware Android che utilizza l’AI per le frodi pubblicitarie

L’intelligenza artificiale può essere anche questo: una minaccia informatica. I ricercatori di Dr.Web, azienda specializzata in sicurezza mobile, hanno scoperto una famiglia di malware in grado di sfruttare modelli di machine learning per generare frodi pubblicitarie. La particolarità? Oltre ad automatizzare il processo, questi malware riescono ad agire in modo del tutto invisibile agli occhi dell’utente.

Offerta

Come agisce questo malware

Il malware in questione si serve di TensorFlow.js, una libreria open source sviluppata da Google che consente di addestrare e utilizzare modelli di intelligenza artificiale direttamente in JavaScript, all’interno di browser o su server. A differenza dei tradizionali trojan per le frodi digitali, questo malware funziona in modo completamente nuovo. Non vengono utilizzati script predefiniti o interazioni con il codice della pagina tramite il classico livello DOM, ma il malware utilizza un’analisi visiva delle pagine pubblicitarie (ottenuta attraverso screenshot e modelli AI) che identificano gli elementi su cui cliccare in modo del tutto simile a un utente reale. Questa tecnica risulta particolarmente efficace perché consente di adattarsi ai frequenti cambiamenti nel formato degli annunci, che spesso appaiono sotto forma di video o all’interno di iframe.

I ricercatori hanno identificato due principali modalità operative. La prima, chiamata phantom mode (modalità fantasma), consiste nel caricamento di una pagina web in una WebView completamente nascosta, che non viene mai mostrata all’utente. Qui viene attivato un file JavaScript capace di simulare i clic sugli annunci, dopo aver ricevuto da remoto il modello AI da utilizzare. L’intero processo avviene su uno schermo virtuale, dove l’intelligenza artificiale analizza le immagini e identifica i punti giusti da toccare. La seconda modalità, ancora più insidiosa, si chiama signalling mode. In questo caso, la visuale della WebView viene trasmessa in tempo reale tramite WebRTC, permettendo ai criminali informatici di controllare direttamente lo schermo virtuale. Possono così cliccare, scorrere o inserire testo manualmente, senza che l’utente si accorga di nulla.

Ciò che rende questa minaccia particolarmente preoccupante è il modo in cui viene distribuita. Il malware è stato trovato all’interno di giochi pubblicati sullo store ufficiale di Xiaomi, GetApps. Si tratta di titoli apparentemente innocui che, inizialmente, non contengono alcuna funzionalità dannosa. Solo in un secondo momento, con aggiornamenti successivi, vengono introdotti i codici dannosi. Alcuni dei giochi individuati come infetti sono stati scaricati da decine di migliaia di utenti. Tra questi ci sono Theft Auto Mafia, Cute Pet House, Creation Magic World, Amazing Unicorn Party e Sakura Dream Academy.

Oltre al canale ufficiale Xiaomi, il malware si diffonde anche tramite APK modificati ospitati su piattaforme molto popolari tra gli utenti Android, come Apkmody e Moddroid. In molti casi, le app infette sono versioni “premium” o “modificate” di software noti come Spotify, Deezer, YouTube o Netflix. A rendere più complessa l’identificazione della minaccia c’è che in alcuni casi le app risultano perfettamente funzionanti. Anche su Telegram e Discord sono stati individuati canali attivi nella diffusione del malware, con migliaia di iscritti coinvolti.

Le possibili conseguenze

Sebbene questa minaccia non comporti il furto diretto di dati personali, le conseguenze per gli utenti non sono trascurabili. Il continuo utilizzo del dispositivo in background, la generazione automatica di interazioni su annunci pubblicitari e l’uso costante del processore grafico e della rete dati possono causare un rapido consumo della batteria, un deterioramento del dispositivo e un aumento del traffico dati, con potenziali costi aggiuntivi.

Com’era prevedibile l’utilizzo dell’intelligenza artificiale rende le minacce informatiche più sofisticate, più adattabili e più difficili da individuare. La possibilità di eseguire azioni in tempo reale, attraverso un’interfaccia invisibile all’utente, rappresenta un ulteriore passo avanti nelle strategie adottate dai criminali informatici. Quella appena individuata rischia di essere la prima di una serie di evoluzioni delle frodi online.