di Marco Anzani on 27 luglio 2017
Marco Anzani

Judy, a dispetto del suo nome, non ha nulla di gentile: al contrario, è considerato il peggior malware di sempre per gli utenti Android – tanto da aver causato problemi su ben 30 milioni di dispositivi.

Nello specifico, il malware Judy potrebbe aver generato qualcosa come 36,5 milioni di infezioni su smartphone, secondo quanto reso noto dalla società di web security Check Point. La particolarità di Judy, che poi è ciò che lo ha reso così micidiale, è il fatto che generi automaticamente falsi clic pubblicitari – di fatto andando a toccare un mercato “grigio” in enorme espansione, quello delle false “impression” per le campagne online.

Check Point avrebbe individuato il malware Judy all’interno di ben 41 app per Android firmate dal brand coreano Kiniwini e pubblicate sotto l’etichetta Enistudio Corp. Si tratta sostanzialmente di app rivolte a un pubblico di giovanissimi, e molto apprezzate: in questo senso, le recensioni positive degli utenti su Google Play non hanno fatto che aumentare gli scaricamenti delle app infette e, di conseguenza, la diffusione del malware.

Ma cosa fa, nella pratica, Judy? Una volta installato su un dispositivo Android, questo malware genera, attraverso il piccolo gruppo di applicazioni nelle quali è presente, un largo numero di infezioni finalizzate a produrre “una grande quantità di clic fraudolenti su banner pubblicitari, e partorendo introiti per chi li ha messi a punto”.

Spiega Check Point: "Una volta che l'utente ha scaricato l'applicazione, questa registra silenziosamente delle connessioni con il server di controllo", avviando poi dei collegamenti con una serie di indirizzi web “nascosti”, travestendosi da PC e rimbalzando da sito in sito: è così che il codice JavaScript individua i banner di Google Ads e ci clicca sopra, imitando un’azione umana. Di fatto, Judy può essere definito una botnet di dimensioni ragguardevoli, controllata da remoto e che simula traffico pubblicitario – portando però soldi reali nelle tasche di qualcuno.

A vederla così, la situazione non sembra poi così pericolosa per gli utenti. Tuttavia Judy ha già raggiunto il record di “più ampia campagna di malware mai scovata su Google Play”.

Attualmente, Google ha rimosso le app infette dal suo Store e non è più possibile scaricarle. Peccato che, al momento dell’eliminazione, le applicazioni fossero già state scaricate tra i 4,5 e i 18,5 milioni di volte.

Persino Check Point, che ha ben analizzato il potenziale dannoso di Judy, è incerta sulle conseguenze reali dei download: “Non è chiaro da quanto tempo il codice malevolo fosse nascosto in quelle applicazioni, e la rapidità di diffusione rimane sconosciuta. Per questo l'effettiva propagazione del malware pubblicitario potrebbe essere compresa fra 8,5 e 36,5 milioni di utenti nonostante un più basso numero di scaricamenti.”

In definitiva, sebbene Judy non sia un malware che danneggia direttamente chi lo ha installato sul proprio smartphone, una considerazione è d’obbligo: non è detto che un’applicazione Android popolare sia necessariamente sicura. Prestate sempre attenzione a quello che scaricate!

Una nota finale merita una riflessione generale in termini di digital marketing: è assai probabile che l’individuazione di malware possa incidere sulla SERP. Google ha infatti la capacità di individuare molti dei malware che individua sui siti web nel corso dei suoi googlebot crawl, e di classificarli all’interno della sua personale lista che va da “ampiamente benigno” (come l’adware) ad “altamente pericoloso per l’integrità dei dati” o “altamente infettivo per il sistema”. Si tratta, in questi ultimi casi, di minacce pericolosissime che portano a precise segnalazioni nella SERP:

  • “Questo sito potrebbe essere compromesso”

  • “Questo sito potrebbe danneggiare il tuo computer”

E se le minacce “benigne” potrebbero essere ignorate a livello di SERP, una pagina web compromessa o hackerata che include contenuto modificato, link ambigui o un’infinità di pagine improvvisamente aggiunte nel tentativo di ingannare i visitatori e spingerli a specifiche chiamate all’azione, può risultare in una compromissione dell’intero sito web agli occhi di Google.

Nei casi peggiori, questi siti possono letteralmente sparire dalla SERP, in quelli meno brutti ma ugualmente tragici essere invece anticipati dai messaggi di cui sopra.

Attenzione, dunque, alle infezioni malware a livello di sito web che potrebbero pregiudicare, nei casi peggiori, un accurato lavoro di SEO e di generazione di prospect.