Un sofisticato sistema di frode pubblicitaria, denominato Genisys, ha colpito oltre 25 milioni di dispositivi in tutto il mondo. La scoperta arriva dall’IAS Threat Lab di Integral Ad Science (IAS), che ha collaborato con Google per rimuovere le app compromesse dal Play Store e proteggere gli utenti tramite Google Play Protect.
Il meccanismo di Genisys era insidioso: le app compromettevano smartphone e tablet, sfruttando potenza di calcolo e connessione di rete senza il consenso degli utenti, senza fornire alcun servizio legittimo.
Come funzionava Genisys
A differenza di schemi precedenti come Arcade, Genisys faceva ampio uso di domini generati con strumenti di intelligenza artificiale. In tutto, il sistema coinvolgeva 115 app mobili e quasi 500 domini creati con AI, che apparivano come blog, testate giornalistiche o portali informativi, ma servivano solo a ‘riciclare’ traffico fraudolento generato dalle app, trasformandolo in inventario pubblicitario apparentemente legittimo.
La frode si basava anche sulla falsificazione degli ID dei pacchetti delle app (app bundle ID spoofing), che faceva sembrare il traffico proveniente da centinaia di app popolari, rendendo più difficile individuare le vere origini dell’attività malevola.
L’impatto della frode si estendeva oltre la sicurezza degli utenti, minacciando l’integrità economica del mercato pubblicitario digitale. L’infrastruttura fraudolenta era in grado di generare volumi massivi di traffico sintetico, alimentando inventario pubblicitario non valido e potenzialmente sottraendo budget agli inserzionisti attraverso segnali di performance artificialmente alterati.
Una rete coordinata e in continua espansione
IAS ha identificato modelli coordinati tra app, domini e traffico, osservando come gli sviluppatori coinvolti pubblicassero app di basso impegno a ritmo elevato, monetizzando costantemente le risorse dei dispositivi. Anche dopo la rimozione delle app, nuove versioni apparivano rapidamente, confermando la portata globale dell’operazione.
L’attività di Genisys si è allargata progressivamente a nuovi mercati tra APAC, LATAM ed EMEA, con un’espansione strategica più che episodica.
Coordinamento con Google e mitigazione
Grazie alla collaborazione tra IAS e Google, le app identificate sono state rimosse dal Play Store e Google Play Protect disattiva automaticamente quelle note per essere associate a Genisys, anche se provengono da fonti esterne. L’azione coordinata ha ridotto di oltre il 95% il traffico generato dalle app coinvolte.
Un cambio di paradigma nella frode digitale
Genisys rappresenta un esempio avanzato di come l’AI possa essere sfruttata per ampliare e automatizzare operazioni fraudolente. La rete sintetica di domini, combinata con tecniche di spoofing e rotazione rapida, permette agli autori della frode di rimanere difficili da individuare e prolungare la monetizzazione, evidenziando la necessità di coordinamento tra piattaforme, sviluppatori e sistemi di enforcement.