Gli store non ufficiali per app mobili stanno diventando una vera e propria minaccia per la sicurezza digitale. Secondo un’analisi condotta da Mobisec, azienda italiana specializzata in cybersecurity mobile, una app su cinque distribuita tramite store alternativi è potenzialmente fraudolenta. Il dato emerge da una ricerca che ha analizzato 122 app su 56 store non ufficiali, concentrandosi sull’ambiente Android, dove questi canali alternativi sono più diffusi, ma segnalando anche l’emergere di store simili nel mondo iOS.
App manomesse, cloni e vecchie versioni: i tre volti del rischio
Gli hacker etici di Mobisec hanno utilizzato AppSentry, un loro strumento proprietario, per monitorare la presenza e l’integrità delle app aziendali sugli store non ufficiali. Dai dati raccolti emerge che:
- il 9,3% delle app è stato diffuso con un nome modificato;
- il 3,4% è stato individuato su store che ospitano solo versioni manomesse delle app;
- il 9% è stato esplicitamente rilevato come app malevola.
Queste app possono contenere codice dannoso, accessi abusivi a funzioni sensibili del telefono, oppure versioni obsolescenti e vulnerabili.
Tra i pericoli, quello di furto di dati sensibili, come le credenziali bancarie, ma anche campagne di phishing mirate, costruite a partire dai comportamenti monitorati attraverso l’app malevola.
I settori più colpiti: logistica, media e sanità
L’indagine condotta da Mobisec ha evidenziato una forte esposizione in diversi settori strategici. Il 67% delle app di logistica presenti su store alternativi risulta sospetto o alterato. Subito dopo vengono:
- il settore media e news (50%);
- i servizi pubblici, in particolare la sanità (33%);
- le piattaforme di intrattenimento (32%);
- il trasporto pubblico locale (31%);
- la GDO (29%);
- la messaggistica (27%);
- il gaming (25%).
Inoltre, sono state individuate anche versioni contraffatte di app per l’accessibilità, che rappresentano un rischio ancora più elevato: l’uso improprio di queste app può compromettere l’autonomia e la sicurezza degli utenti più fragili, come nel caso del supporto al riconoscimento vocale per operazioni bancarie.
Un rischio anche per la reputazione delle aziende
Secondo Simone Rebeschini, CEO di Mobisec, la presenza di un’app in uno store non ufficiale non è sempre un problema in sé, ma lo diventa quando le versioni distribuite non sono aggiornate, oppure sono state manomesse con intenti fraudolenti. Il rischio, in questo caso, non riguarda solo l’utente finale, ma anche la reputazione e la credibilità del brand.
«La brand protection oggi significa anche sapere dove si trova la propria app, come viene distribuita e se è stata modificata», spiega Rebeschini. «AppSentry offre alle aziende un radar in tempo reale per intercettare le manipolazioni e intervenire tempestivamente, prima che si trasformino in danni concreti per l’impresa e per i suoi clienti».
Difendersi è possibile
AppSentry permette di monitorare continuamente gli store non ufficiali, segnalando la presenza di versioni alterate o obsolete dell’applicazione. Le aziende, una volta identificate le violazioni, possono richiedere la rimozione dei file direttamente agli store interessati.
La raccomandazione, per utenti e sviluppatori, è chiara: scaricare sempre le app dagli store ufficiali e, per le aziende, monitorare attivamente la presenza delle proprie app nei canali alternativi, agendo rapidamente in caso di diffusione non autorizzata.
Chi è Mobisec
Fondata nel 2015 e con sede a Treviso, Mobisec è specializzata nella sicurezza delle app mobili. Ha collaborato con realtà come TIM, Generali, UniCredit, ING, BNL e ha preso parte al progetto nazionale Immuni durante la pandemia. L’azienda offre anche servizi per la sicurezza delle app web e soluzioni di data intelligence, confermandosi un riferimento nel panorama italiano della cybersecurity applicata alla mobilità.
