Nel vasto panorama di quasi 3 milioni di applicazioni disponibili sul Google Play Store, è sempre più difficile distinguere tra software affidabili e potenziali minacce. Una nuova ondata di app potenzialmente dannose è riuscita a superare i controlli di sicurezza di Google, diffondendosi tra gli utenti Android. Il pericolo, questa volta, riguarda da vicino il mondo delle criptovalute.
- App-truffa mascherate da portafogli crypto
- Tecniche sempre più sofisticate
- Diffusione anche fuori dal Play Store
- Alcuni nomi delle app incriminate
- Cosa fare per proteggersi
- Come agire se hai installato una di queste app
App-truffa mascherate da portafogli crypto
Un’indagine condotta dai ricercatori di Cyble Research and Intelligence Labs (CRIL) ha identificato oltre 20 applicazioni malevole, camuffate da portafogli per criptovalute. Si presentano come versioni ufficiali di noti wallet decentralizzati come SushiSwap, PancakeSwap, Phantom, Hyperliquid, Raydium, Zapper e altri ancora. Graficamente sono quasi indistinguibili dalle app originali, con loghi, colori e descrizioni identiche o leggermente modificate.
Il trucco è tanto semplice quanto efficace: all’apertura dell’app, all’utente viene richiesto di inserire la seed phrase, ovvero la frase segreta composta da 12 (o 24) parole che consente di accedere ai fondi digitali. Una volta inserita, questa informazione viene inviata ai server controllati dagli hacker. Con quei dati, gli attaccanti possono svuotare in pochi secondi l’intero wallet dell’utente, senza lasciare traccia.
Tecniche sempre più sofisticate
Molte di queste applicazioni fanno uso di un framework chiamato Median, che consente di caricare contenuti esterni all’interno dell’app, inclusi script dannosi o schermate di phishing. In altri casi, gli sviluppatori compromessi vengono utilizzati per pubblicare le app infette, sfruttando la loro credibilità e il fatto che le applicazioni precedenti erano legittime.
Alcune app malevole riescono addirittura a replicare l’intero processo di onboarding tipico dei wallet ufficiali, inducendo l’utente a credere che stia operando in un ambiente sicuro. È un attacco ben pianificato, che punta non solo ai neofiti ma anche a utenti più esperti e disattenti.
Diffusione anche fuori dal Play Store
Sebbene diverse di queste applicazioni siano state individuate e rimosse dal Play Store, molte continuano a circolare su canali paralleli. Forum di criptovalute, gruppi Telegram, e persino annunci pubblicitari mirati possono essere utilizzati per diffondere link diretti al download. In alcuni casi, gli hacker fingono di essere membri dello staff di supporto o community manager per convincere l’utente a scaricare le versioni contraffatte.
Alcuni nomi delle app incriminate
Le app identificate dagli analisti CRIL includevano nomi come:
- Phantom Wallet Lite
- SushiSwap Exchange Pro
- Pancake Wallet DEX
- SafePal Mobile Wallet
- Zapper Tracker Pro
- Raydium Wallet Plus
Molte di queste erano pubblicate da sviluppatori con nomi simili o ispirati ai brand originali, ma con lievi variazioni ortografiche.
Cosa fare per proteggersi
Per evitare di cadere vittima di queste truffe, è fondamentale adottare alcune precauzioni:
- Non inserire mai la seed phrase in app o siti web che non siano quelli ufficiali.
- Verifica sempre lo sviluppatore dell’app prima di scaricarla. I wallet ufficiali hanno siti di riferimento che indicano i link corretti.
- Evita link ricevuti via messaggio o trovati in chat di gruppo, anche se sembrano provenire da fonti affidabili.
- Installa un antivirus mobile aggiornato che sia in grado di rilevare app sospette.
- Controlla le recensioni: anche poche valutazioni negative possono essere un segnale di pericolo.
Come agire se hai installato una di queste app
Se sospetti di aver installato un’app pericolosa, disinstallala immediatamente e cancella ogni dato residuo. Se hai digitato la tua seed phrase, considera compromesso il tuo portafoglio crypto. Procedi il prima possibile a:
- Trasferire i fondi su un nuovo wallet sicuro, creato con una nuova frase segreta.
- Revocare gli accessi e le autorizzazioni collegati al vecchio wallet tramite servizi come Revoke.cash.
- Segnalare l’app a Google e alla community crypto per evitare che altri utenti cadano nella stessa trappola.
