Si installa da solo dopo un click, ruba foto e messaggi, registra l’audio e nasconde la propria icona
Una versione “pro” di WhatsApp, TikTok o Facebook fuori dal Play Store, promossa da un link su social o in un gruppo privato. Sembra un’offerta, in realtà è un’esca. Da qui comincia l’infezione. Il nome del virus è Arsink, un trojan per Android progettato per infiltrarsi nel dispositivo, estrarre dati personali e consentire agli hacker di prendere il controllo da remoto. A rilevare il comportamento del malware è stata Zimperium, azienda di sicurezza informatica, che ha già contato oltre 45.000 telefoni compromessi in 143 Paesi. Le app infette sembrano reali, ma agiscono in silenzio, si nascondono alla vista dell’utente e restano attive anche dopo un riavvio. La minaccia è attuale, reale e riguarda chiunque usi un telefono Android.
Come agisce Arsink: finti marchi noti, autorizzazioni estese e dati rubati in silenzio
Arsink arriva travestito. L’utente crede di scaricare un’app conosciuta in versione “avanzata”, con funzioni sbloccate o senza pubblicità. Ma è solo una replica. Il file APK non viene da Google Play, ma da fonti parallele, spesso promosse su Telegram, Facebook o TikTok stesso. Appena installata, la falsa applicazione chiede autorizzazioni sensibili: accesso a microfono, fotocamera, messaggi, posizione, rubrica. Molti accettano senza leggere. È lì che il virus comincia il suo lavoro.
Il file APK spesso promosse su Telegram – computercityhw.it
Una volta attivo, Arsink nasconde l’icona, avvia un servizio in primo piano, impedisce la chiusura automatica e inizia a trasmettere i dati rubati ai suoi operatori. Tra i contenuti intercettati ci sono messaggi, email, registri chiamate, foto, audio ambientali, spostamenti GPS. Tutto passa inosservato. L’interfaccia è minima, le funzioni promesse non esistono. Non serve nemmeno interagire: il trojan si muove in autonomia, anche se il telefono è bloccato.
Il meccanismo è pensato per resistere. Le notifiche persistenti impediscono che venga chiuso con i task killer. Chi prova a disinstallarlo, spesso non riesce. Alcuni dispositivi infetti continuano a inviare dati anche dopo giorni, senza che l’utente se ne accorga. L’unico modo per individuarlo è accorgersi di consumi anomali, rallentamenti improvvisi o accessi non autorizzati.
Zimperium ha evidenziato come oltre 50 marchi reali siano stati clonati per diffondere il virus: da Google a Instagram, da YouTube a WhatsApp. L’uso del nome e del logo ufficiale inganna anche gli utenti esperti. Il codice del malware viene aggiornato frequentemente per evitare che venga riconosciuto dagli antivirus standard.
Cosa fare se il dispositivo è infetto e come evitare le app pericolose fuori dal Play Store
Chi sospetta di essere stato colpito deve agire rapidamente. Se l’icona dell’app installata è sparita, ma restano notifiche anomale o consumi anomali, è probabile che il dispositivo sia già compromesso. In questi casi, il primo passo è avviare il telefono in modalità provvisoria, cercare l’ultima app installata e tentare la disinstallazione. Se non funziona, serve un reset completo, con formattazione del sistema. Prima di farlo, è bene cambiare tutte le password, scollegare il telefono dagli account e avvisare la banca se sono stati inseriti dati di pagamento.
L’unico vero modo per prevenire il contagio è evitare di installare APK da fonti non ufficiali. Anche se sembrano versioni migliorate di app famose, se non si trovano sul Google Play Store, vanno considerate sospette. Nessuna versione “pro” di TikTok, Instagram o Facebook viene distribuita al di fuori dei canali ufficiali. L’offerta di una app “premium” gratis è spesso solo una trappola ben camuffata.
Il trojan Arsink dimostra quanto oggi sia fragile l’equilibrio tra funzionalità e sicurezza negli smartphone Android. L’utente non ha strumenti per verificare la legittimità di un’app una volta installata. E l’ecosistema Android, per sua natura più aperto, espone gli utenti a maggiori rischi rispetto ad altri sistemi.
I numeri pubblicati da Zimperium parlano chiaro: decine di migliaia di dispositivi infetti, una diffusione mondiale e un’architettura di controllo remoto complessa, capace di eludere i controlli. La minaccia non è isolata, ma parte di una strategia più ampia, pensata per raccogliere dati sensibili, sfruttare risorse dei dispositivi e, in alcuni casi, inserirli in reti botnet usate per attacchi coordinati.
Il virus è già attivo. La difesa sta tutta nella prudenza dell’utente.
