Si chiama GhostAd ed è l’ultima campagna di adware scoperta dai ricercatori di Check Point Software. A prima vista sembra una storia come molte: alcune app presenti su Google Play, mascherate da innocui strumenti per creare emoji o ottimizzare il telefono. In realtà, dietro quelle icone colorate si nascondeva un meccanismo capace di trasformare lo smartphone in una piccola “fabbrica pubblicitaria”, attiva 24 ore su 24 e all’insaputa dell’utente. Il risultato? Batteria che cala velocemente, telefono lento, consumo anomalo di dati e, soprattutto, la sensazione di non avere più il pieno controllo del proprio dispositivo.

Nessun titolo. Nessun messaggio. Solo un indicatore silenzioso che qualcosa è in esecuzione, ma l’utente non può rimuoverlo o capirne la funzione. Questo piccolo cavillo trasforma un requisito di sicurezza in una tattica di offuscamento.

I risultati dell’indagine

Le app coinvolte in questa campagna erano almeno quindici, cinque delle quali ancora disponibili su Google Play all’inizio delle analisi. Hanno totalizzato milioni di download, soprattutto in Asia, ma anche in Europa e in Italia. A conferma dell’inganno, alcune avevano raggiunto la vetta delle classifiche degli strumenti gratuiti, attirando migliaia di utenti convinti di installare un’app utile. Il funzionamento di GhostAd è un esempio perfetto di come un software “non propriamente malevolo” possa comunque causare grossi problemi. L’adware non ruba dati sensibili, ma sfrutta un trucco tecnico: avvia un servizio in primo piano, cioè un processo che Android mantiene attivo anche quando l’app è chiusa. Normalmente questi servizi sono usati per funzioni utili, come la musica in background o il navigatore. Nel caso di GhostAd, invece, il servizio viene mantenuto vivo grazie a una notifica invisibile: c’è, ma non mostra alcun testo, quindi è difficile capire perché non si possa rimuovere.

A questo si aggiunge un JobScheduler, un sistema che riattiva continuamente il caricamento di nuovi annunci, anche se il telefono sembra inattivo. È come se ogni pochi secondi qualcuno accendesse e spegnesse luci, radio e TV senza che ce ne accorgiamo: lo smartphone lavora, consuma energia e scalda, pur non essendo in uso. Per gli operatori dietro GhostAd, però, ogni ciclo pubblicitario genera impressioni e quindi guadagni.

Le contromisure

Check Point ha segnalato le applicazioni a Google, che le ha rimosse dal Play Store e ha attivato il blocco tramite Google Play Protect, il sistema che disattiva automaticamente le app pericolose rilevate. Nonostante ciò, l’episodio conferma quanto sia complicato intercettare le minacce che si muovono nella zona grigia: software che non ruba password né attacca il sistema, ma sfrutta funzioni legittime per scopi discutibili.

Oltre al consumo delle risorse, gli esperti avvertono un ulteriore rischio: autorizzazioni eccessive, come l’accesso alla memoria esterna, permettono a queste app di analizzare documenti, screenshot o report aziendali presenti sul telefono. Un problema particolarmente delicato per i dipendenti che usano lo smartphone anche per lavoro.

Come difendersi?

Alcune regole semplici aiutano molto: evitare app con nomi generici o poco chiari, controllare le recensioni, diffidare delle notifiche persistenti senza testo e verificare periodicamente l’elenco completo delle app installate. Piccole attenzioni che possono evitare grandi seccature. GhostAd è un promemoria: anche un’app gratuita apparentemente innocua può trasformarsi in un ospite indesiderato. E nella vita digitale di ogni giorno, la leggerezza è un lusso che spesso si paga con la propria sicurezza.

leggi anche: “Scoperte 4 app dannose su Google Play“

Il Cyber Monday è ormai diventato un appuntamento fisso per chi ama la tecnologia: smart TV, elettrodomestici connessi, assistenti vocali e sistemi di domotica finiscono nei carrelli virtuali di milioni di italiani. Ma mentre crescono le offerte, aumentano anche le ombre sulla nostra vita digitale. Federprivacy, in occasione del boom annuale degli acquisti online, invita a non dimenticare il rovescio della medaglia: molti dei dispositivi che portiamo in casa possono trasformarsi, senza che ce ne accorgiamo, in strumenti di sorveglianza.

Uno dei rischi più sottovalutati riguarda le smart TV. Come spiega Nicola Bernardi nel libro “Smetti di farti spiare, difendi la tua privacy”, i televisori moderni non sono più semplici schermi: sono veri e propri computer collegati alla rete, capaci di raccogliere informazioni dettagliate sulle nostre abitudini.
Molti modelli utilizzano sistemi di Automated Content Recognition (ACR), una tecnologia che “legge” ciò che passa sullo schermo analizzando i pixel. In pratica, sa se stiamo guardando un film su Netflix o una partita su DAZN, a che ora lo facciamo e con quale frequenza. È un po’ come avere un commesso che osserva ciò che metti nel carrello, solo che il carrello è la tua serata sul divano.

Dove si nasconde l’insidia

Il problema non si limita ai contenuti. Telecamere e microfoni integrati possono diventare porte d’ingresso per chi vuole spiarci: hacker, malware, o perfino aziende poco trasparenti. Nei casi peggiori, un criminale informatico potrebbe prendere il controllo del televisore, accendere la videocamera o ascoltare ciò che viene detto in casa. Sembra fantascienza, ma negli ultimi anni non sono mancati episodi documentati di intrusioni simili.

La smart home aggiunge un ulteriore livello di complessità. Frigoriferi connessi, robot aspirapolvere, termostati intelligenti, videocamere e sensori di allarme comunicano tra loro e con server remoti. Ognuno raccoglie un frammento della nostra vita quotidiana: orari in cui siamo a casa, consumi, abitudini, spostamenti nelle stanze. Presi singolarmente sembrano dati innocui; messi insieme possono raccontare molto più di quanto immaginiamo.

“La tecnologia migliora la qualità della vita, ma senza misure di sicurezza può diventare un accesso indesiderato alla nostra privacy“, ricorda Bernardi. Per questo la consapevolezza non è più un optional: aggiornare i dispositivi, usare password robuste, controllare le impostazioni di privacy e scegliere prodotti affidabili è importante quanto confrontare il prezzo durante gli sconti.

In questo Cyber Monday, dunque, il consiglio è semplice: prima di cliccare su Acquista, fermiamoci un attimo a valutare la sicurezza dei dispositivi che entreranno nelle nostre case. Perché una smart home davvero intelligente non è quella che raccoglie più dati, ma quella che protegge chi ci vive.

Leggi anche: “La casa connessa secondo Somfy“

Una falla scoperta di recente in WhatsApp ha permesso di estrarre fino a 100 milioni di numeri di telefono da tutto il mondo. La vulnerabilità è stata individuata dai ricercatori dell’Università di Vienna e corretta da Meta, ma gli esperti invitano alla prudenza: anche se non ci sono prove che sia stata sfruttata, il rischio non può essere considerato nullo. Per capire la portata del problema, bisogna ricordare che il numero di telefono è spesso la chiave d’accesso alla nostra identità online. È usato per registrarsi ai servizi, ricevere codici di conferma e può essere collegato a foto profilo, dispositivi e informazioni personali. A differenza delle password, raramente lo cambiamo. Questo lo rende un bersaglio molto prezioso.

Come funzionava la vulnerabilità

Secondo quanto riportato, un attaccante avrebbe potuto “enumerare” milioni di numeri, cioè verificare automaticamente quali fossero associati a un account WhatsApp. Tecnicamente si tratta di un processo simile a fare prove ripetute finché l’app non risponde “questo numero esiste”. Anche un ladro digitale molto prudente, effettuando richieste lente e da indirizzi diversi, avrebbe potuto passare inosservato tra il traffico normale della piattaforma. Non si tratta quindi di accedere alle chat – che restano protette dalla crittografia – ma di raccogliere informazioni sensibili. Un database con numeri, dispositivo usato, data di creazione dell’account e foto profilo sarebbe un arsenale perfetto per truffe mirate o campagne di phishing.

Perché questo “quasi incidente” è pericoloso

Luis Corrons, Security Evangelist di Avast, sottolinea che la vulnerabilità potrebbe essere stata sfruttata senza lasciare tracce evidenti. E il fatto che Meta non abbia rilevato abusi non significa che nessuno l’abbia mai utilizzata. Per Corrons, questo episodio dovrebbe spingere l’intero settore a ripensare il modo in cui vengono cercati e verificati i contatti nelle app di messaggistica. C’è poi un altro elemento che preoccupa: molti numeri coinvolti in vecchi leak — come quello di Facebook del 2021 — risultano ancora attivi su WhatsApp. Se un numero resta lo stesso per anni, diventa un identificatore stabile, facile da rintracciare e collegare ad altre informazioni sparse online. Perfetto per costruire profili dettagliati delle vittime.

Cosa fare per proteggersi

La buona notizia è che tutti possono adottare misure semplici ma efficaci, come limitare la visibilità del profilo in modo che foto e informazioni siano visibili solo ai propri contatti. Evitare di condividere il numero pubblicamente su siti web, social, annunci. Inoltre, attivare la verifica in due passaggi, che aggiunge un PIN alla registrazione dell’account.
La vulnerabilità è stata risolta, ma il messaggio degli esperti è chiaro: non abbassare la guardia.

Leggi anche: “La MOD malevola di WhatsApp”

*Illustrazione progettata da Univie

Le truffe online stanno cambiando pelle. Non più semplici e-mail sospette o siti improvvisati, ma interi ecosistemi digitali creati per sembrare autentici in ogni dettaglio. È quanto emerge da una recente indagine di Check Point Software, che ha analizzato la crescita delle truffe basate sull’intelligenza artificiale nel mercato dei farmaci dimagranti GLP-1, come Ozempic e Wegovy. La domanda globale di questi prodotti – complici scarsità e prezzi elevati – ha aperto la strada a criminali capaci di sfruttare l’IA generativa per costruire vere e proprie “fabbriche del falso”. Non si limitano più a imitare un prodotto: oggi clonano medici, referti, recensioni, confezioni e persino l’identità delle istituzioni sanitarie nazionali.

Sito che riposta il logo di AIFA contraffatto

Falsi siti che imitano AIFA e servizi sanitari europei

In Italia sono stati rilevati annunci che riproducono lo stile dell’Agenzia Italiana del Farmaco (AIFA), mescolando linguaggio clinico e riferimenti alla fitoterapia per risultare più credibili agli occhi del pubblico locale. Grafiche, loghi, colori e persino uniformi mediche vengono ricreati in pochi secondi grazie all’IA generativa. Il meccanismo è semplice: gli utenti vedono un banner pubblicitario dall’aspetto ufficiale, cliccano e vengono indirizzati a un sito che sembra approvato da un ente pubblico. Ma è tutto artificiale. Per chi non ha competenze tecniche la differenza è quasi indistinguibile.

Trasformazione di SlimPure UK

Immagini “prima e dopo” generate ad arte

Uno degli strumenti più usati dai criminali è la creazione di immagini persuasive che mostrano “trasformazioni fisiche” prima e dopo l’assunzione dei farmaci. In realtà, non c’è nessun paziente: si tratta di foto sintetiche, ottenute combinando foto d’archivio e modifiche generate dall’IA per simulare dimagrimenti spettacolari. È un trucco efficace perché fa leva su un bisogno reale – perdere peso – e sull’identificazione emotiva.

Quando il volto del truffatore è… inventato

Un altro livello della truffa riguarda i video: i criminali possono creare figure di medici inesistenti o imitare esperti reali, replicandone tono, ambientazione e modo di parlare tramite deepfake. In un caso britannico, è stato ricreato lo stile comunicativo di un noto nutrizionista per sponsorizzare un prodotto falso, pur senza alcun legame con la persona reale.

Come difendersi

Nonostante la complessità di queste tecniche, i consumatori possono proteggersi con alcune semplici accortezze:

• Acquistare solo da farmacie ufficiali e verificate;
• Diffidare di offerte troppo convenienti, timer di acquisto e annunci che promettono risultati “miracolosi”;
• Verificare nomi di medici e cliniche citate negli annunci;
• Controllare sempre l’URL del sito, perché spesso differisce da quello dell’ente imitato

Le truffe basate sull’IA non colpiscono solo gli utenti: anche istituzioni sanitarie, piattaforme e sistemi di pagamento devono collaborare per individuare e bloccare siti falsi prima che raggiungano il pubblico. Secondo Check Point, ci troviamo davanti alla “fase successiva del cybercrime”: una criminalità che sfrutta l’IA per creare mondi digitali credibili e difficili da smascherare. L’unica difesa è restare informati, sviluppare spirito critico e, soprattutto, non fidarsi mai di ciò che sembra “troppo perfetto per essere vero”.

*Illustrazione progettata da CheckPoint

Il lancio di Battlefield 6 non ha attirato solo milioni di giocatori, ma anche l’attenzione dei criminali informatici. Secondo una nuova ricerca pubblicata da Bitdefender, sono attualmente attive diverse campagne malware che sfruttano l’entusiasmo per il gioco per diffondere software dannoso camuffato da versioni pirata o da “trainer”, ovvero quei programmi che promettono modifiche e vantaggi in game.

Come funziona la truffa

Il meccanismo è semplice: molti utenti, per risparmiare o per avere funzionalità extra, cercano online crack o mod non ufficiali. I cybercriminali ne approfittano distribuendo file che sembrano autentici ma che, una volta avviati, installano infostealer e altri malware capaci di rubare dati sensibili. Un infostealer è un programma progettato per sottrarre informazioni come password salvate nel browser o credenziali dei wallet di criptovalute. Basta un clic su un file fasullo e i dati più preziosi del PC diventano accessibili a chi attacca.

Per rendere i loro file più credibili, gli hacker fingono di appartenere a famosi gruppi di “cracking” come InsaneRamZes o RUNE, nomi ben conosciuti tra gli appassionati di modding. Ma, avverte Bitdefender, nessuno dei file che circolano online funziona davvero: non avviano Battlefield 6 né offrono trainer reali. Servono solo a infettare il sistema.

Le tecniche usate sono tutt’altro che rudimentali. I ricercatori hanno individuato malware in grado di limitare l’esecuzione in base alla posizione geografica, di nascondere il loro codice tramite sistemi di “hashing” – una sorta di offuscamento che rende difficile l’analisi – e perfino di riconoscere quando vengono avviati in una “sandbox”, cioè un ambiente sicuro usato dagli analisti per studiare i virus. In quel caso il malware si ferma, per non farsi scoprire.

Alcune varianti, come quella attribuita al falso gruppo RUNE, includono componenti C2 (Command & Control), cioè moduli che permettono a un attaccante di controllare il PC da remoto. In scenari reali ciò può significare l’installazione di nuovi malware, l’uso del computer per truffe online o il furto continuo di informazioni.

Bitdefender segnala anche che i torrent infetti presentano centinaia di seeder e leecher attivi: in altre parole, centinaia di persone stanno distribuendo e scaricando file compromessi, spesso senza saperlo. Non solo: un finto trainer di Battlefield 6 compariva già alla seconda pagina di Google, un dettaglio che aumenta il rischio di esposizione per molti utenti meno attenti.

Come difendersi?

Le raccomandazioni sono semplici ma fondamentali. Prima di tutto, scaricare i giochi solo da piattaforme ufficiali come EA App, Steam o Epic Games Store. Evitare torrent, crack e trainer non verificati è la regola d’oro: anche quando sembrano legittimi, possono nascondere codice malevolo. Infine, utilizzare una soluzione di sicurezza che includa protezione comportamentale, capace di bloccare un malware nel momento in cui tenta di eseguire attività sospette.

Leggi anche: “Videogiochi indie con il malware dentro“

*Illustrazione progettata da Bitdefender

L’enorme popolarità dei BlackPink (gruppo coreano formato da quattro ragazze), impegnati nel loro nuovo tour mondiale, non ha attirato solo fan e curiosi: anche i truffatori online stanno approfittando dell’entusiasmo per mettere in atto nuove frodi. Gli esperti di Kaspersky hanno individuato diversi siti falsi che imitano quasi alla perfezione lo store ufficiale del merchandising della band. L’obiettivo è indurre i fan a fare acquisti fasulli e, soprattutto, a condividere dati personali e bancari.

Un esempio di un sito web fake che incoraggia gli utenti ad acquistare prodotti BlackPink

La strategia messa in campo

I criminali creano una copia dello shop originale, completa di foto, catalogo prodotti, carrello e pulsante “checkout”. L’utente, convinto di trovarsi sul sito giusto, compila il modulo d’ordine inserendo informazioni come nome, indirizzo, e-mail e numero di carta. In apparenza tutto funziona, ma in realtà nulla verrà spedito. I soldi scompaiono, e insieme a loro anche i dati sensibili, che possono essere rivenduti o usati per altre frodi.

Si tratta di un esempio tipico di phishing, una truffa in cui un sito o un messaggio falso cerca di sembrare autentico per spingere l’utente a fidarsi. Nel caso del merchandising di gruppi molto seguiti, la tecnica è ancora più efficace: prodotti limitati, poco tempo per acquistare e forte pressione emotiva. Tutti fattori che riducono l’attenzione e aumentano le possibilità di cadere nel tranello.

Secondo Kaspersky, questo tipo di schema si presenta spesso in occasione di eventi musicali, tornei sportivi o uscite di prodotti molto attesi. I truffatori sanno che i fan, pur di non perdere un’occasione, tendono a cliccare rapidamente su qualunque link sembri promettente. E proprio la fretta è una delle principali alleate dei criminali informatici.

Esempio di modulo per il pagamento e la registrazione sul sito Web fake

Per capire se un sito è affidabile, Kaspersky consiglia di controllare con attenzione l’indirizzo Web: errori ortografici, domini insoliti o link ricevuti via social da profili sconosciuti sono segnali di allarme. Un altro accorgimento è verificare se il venditore è effettivamente autorizzato: spesso gli store ufficiali vengono elencati sui siti delle band o delle etichette discografiche.

Un ulteriore livello di protezione può arrivare dalle soluzioni di sicurezza. I software moderni non si limitano a bloccare virus e malware, ma riconoscono anche pagine sospette e tentativi di phishing.

Oltre alla prudenza nella navigazione, è utile attivare l’autenticazione a due fattori (2FA), soprattutto per servizi di pagamento e home banking. Funziona come un secondo lucchetto: anche se qualcuno ruba la password, non può accedere senza confermare l’accesso tramite app o codice sul telefono. Infine, controllare periodicamente i movimenti della propria carta può aiutare a intercettare rapidamente transazioni sospette.

La sicurezza informatica ha vissuto un momento di grande innovazione durante il Pwn2Own Ireland 2025, il celebre hackathon globale organizzato da Trend Micro. La manifestazione ha visto i partecipanti, esperti di sicurezza da tutto il mondo, sfidarsi per individuare vulnerabilità in dispositivi elettronici di uso quotidiano, con l’obiettivo di rendere la tecnologia più sicura per tutti. Il montepremi complessivo è stato superiore a un milione di dollari, segno della crescente importanza attribuita alla scoperta di nuove minacce digitali.

Un festival della ricerca: cos’è Pwn2Own

Il Pwn2Own Ireland si distingue nel mondo della cybersicurezza come uno degli eventi più attesi, grazie al suo format unico che premia coloro che riescono a “bucare” – ovvero violare la sicurezza – di prodotti tecnologici tramite la scoperta di bug chiamati “zero-day”. Questi bug sono falle mai individuate prima dai produttori e possono essere sfruttate dai criminali informatici per accedere ai dispositivi. In questa edizione, i partecipanti hanno scoperto ben 73 vulnerabilità zero-day su stampanti, sistemi di archiviazione in rete, dispositivi smart home, apparecchi di sorveglianza e persino su smartphone di largo consumo.

Cos’è una vulnerabilità zero-day? Un esempio semplice

Immagina che il tuo smartphone abbia una porta invisibile che nessuno, nemmeno il costruttore, ha mai visto. Chi scopre quella porta può entrare senza chiavi e accedere ai tuoi dati. Solo quando la vulnerabilità viene segnalata, il produttore può “chiudere la porta” con un aggiornamento. Durante Pwn2Own, tanti ricercatori hanno segnalato queste porte invisibili, “zero-day”, aiutando le aziende a correggere i difetti prima che vengano usati per scopi illeciti.

I vincitori e gli exploit più curiosi

Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare il Samsung Galaxy S25, inclusa la fotocamera e il sistema di localizzazione, sfruttando un difetto nella verifica dei dati immessi dall’utente. Altri team hanno sfidato dispositivi come router di casa e speaker intelligenti, dimostrando come anche la sicurezza degli oggetti smart che usiamo a casa sia cruciale: Bongeun Koo ed Evangelos Daravigkas hanno impiegato 8 bug diversi per violare sistemi di rete e archiviazione, mettendo in luce la complessità della difesa digitale.
In definitiva, l’evento ha visto gli hacker etici competere per un montepremi di oltre 2 milioni di dollari. Ecco in dettaglio i momenti più salienti:

• Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare un Samsung Galaxy S25, inclusi la fotocamera e il rilevamento della posizione, utilizzando un bug di convalida dell’input improprio, aggiudicandosi un premio di $50.000.
• Ken Gannon / 伊藤 剣 di Mobile Hacking Lab e Dimitrios Valsamaras di Summoning Team hanno violato un Samsung Galaxy S25 utilizzando 5 bug diversi, aggiudicandosi un premio di $50.000.
• Bongeun Koo ed Evangelos Daravigkas di Team DDOS hanno utilizzato 8 differenti bug e injection multiple, per completare un “SOHO Smashup” del router QNAP Qhora-322 e del dispositivo QNAP TS-453E NAS. Per questo, si sono aggiudicati un premio di $100.000.
• dmdung di STAR Labs SG Pte. Ltd ha utilizzato un singolo bug di accesso OOB per violare lo smart speaker Sonos Era 300, aggiudicandosi un premio di $50.000.
• Sina Kheirkhah e McCaulay Hudson di Summoning Team hanno sfruttato un paio di vulnerabilità per hackerare un Synology ActiveProtect Appliance DP320.
• Il Team Z3 ha ritirato il tentativo di dimostrare un exploit zero-click di WhatsApp, ma la ricerca è stata condivisa privatamente con Trend Micro ZDI e Meta, per garantire che eventuali potenziali vulnerabilità possano essere risolte.

Un exploit “zero-click”: che significa?

Si tratta di una tecnica che permette di compromettere un’app o un dispositivo senza che l’utente debba fare nulla: non serve aprire un messaggio, cliccare su un link, né scaricare un file. È come ricevere una lettera nel cassetto della posta che si apre da sola e mostra il contenuto a chi è alla porta. Al Pwn2Own, i tentativi di mostrare questi exploit sono stati portati avanti con responsabilità: la ricerca è stata condivisa in privato con i produttori, per evitare rischi agli utenti e consentire una rapida correzione.
Trend Micro mette in evidenza come questa competizione acceleri la protezione verso i propri clienti, offrendo aggiornamenti di sicurezza mediamente 71 giorni prima rispetto agli altri concorrenti. Significa che chi utilizza prodotti protetti grazie alle scoperte di Pwn2Own ha quasi due mesi di margine sulla diffusione delle nuove minacce.
Il prossimo evento, Pwn2Own Automotive, si terrà a Tokyo, Giappone, dal 21 al 23 gennaio 2026.