Nel mondo digitale ogni bug è una rovina pulsante.
Alcuni errori si consumano nel silenzio di una patch.
Altri, invece, si aggrappano alla memoria collettiva, come fossili di un tempo in cui il software sembrava ancora gestibile.
In questa nuova indagine archeologica scaviamo tra i resti di un doppio incidente: un malware che si fingeva un gioco e un virus si addentrava fino alle radici del sistema operativo.
Era il 2016. Android era ormai ovunque. E Pokémon GO aveva appena invaso il pianeta.
Ma insieme ai Pokémon, qualcosa di molto meno innocente si nascondeva nel codice.
Una ferita invisibile che ci ricorda quanto la nostra fiducia digitale sia spesso malriposta.
BUG ARCHEOLOGY – EPISODIO 8
“Nel cuore del gioco, una falla. Sotto le app colorate, una radice velenosa.”
Nel 2016 milioni di utenti Android si lanciavano per le strade alla ricerca di Pikachu e Charmander. Era il debutto globale di Pokémon GO, l’app che trasformava la realtà aumentata in fenomeno culturale.
Ma sotto la superficie ludica, un pericolo si aggirava nei file APK: malware camuffati da gioco, accessi remoti mascherati da nostalgia infantile, e app che prendevano possesso del sistema senza permesso.
Nel cuore del primo entusiasmo globale per la realtà aumentata, si nascondeva una vecchia storia: quella della fiducia tradita dal software.
I. Il sintomo
Tutto inizia a luglio 2016. L’app di Pokémon GO non era ancora disponibile in Italia. Ma la rete brulicava già di link, mirror e versioni “modificate” dell’APK.
Chi non voleva aspettare scaricava comunque. Dopotutto, cosa poteva andare storto?
Molti iniziarono a notare i telefoni che rallentavano, dati che scomparivano, comportamenti anomali e inspiegabili… come se il loro smartphone fosse diventato altro, e qualcun altro lo stesse usando al nostro posto.
II. Il bug e la timeline
Non era un solo malware. Erano due minacce distinte che colpirono duramente proprio nell’ stesso momento:
1. Le auto-rooting apps (Shedun / HummingBad)
Un’intera famiglia di malware, tra cui HummingBad, Shedun, ShiftyBug, Brain Test, iniziava a prendere piede da fine 2015.
Il loro comportamento era silenzioso e profondo: si installavano con privilegi di root, senza autorizzazione, usando vulnerabilità note nei sistemi Android più vecchi (Jelly Bean, KitKat, Lollipop…).
Non si limitavano a spiare: prendevano possesso del sistema operativo, modificandolo alla radice, installando app indesiderate e rendendo spesso inutile anche un reset di fabbrica.
Check Point stimava 10 milioni di dispositivi infetti, 50.000 installazioni malevole al giorno, e oltre 300.000 dollari mensili guadagnati solo grazie a pubblicità truffaldine.
I nomi cambiavano a seconda della compagnia di sicurezza: Hummer, ANDROIDOS_LIBSKIN, right_core.
Ma la radice era la stessa: un codice che si innestava nel cuore del dispositivo, camuffato da app legittime come Facebook o WhatsApp.
📦 Cronologia del bug
Auto-rooting apps & DroidJack su Android (2015–2016)
| Data | Evento |
|---|---|
| Novembre 2015 | Prime segnalazioni del malware Shedun (alias HummingBad, Shuanet, ShiftyBug) da parte di Lookout Security |
| Dicembre 2015 – Giugno 2016 | Crescita esponenziale delle infezioni: milioni di dispositivi Android compromessi da auto-rooting apps |
| 6 luglio 2016 | Pokémon GO viene rilasciato ufficialmente in Australia, Nuova Zelanda e USA |
| 7 luglio 2016 | Proofpoint scopre una versione modificata dell’APK di Pokémon GO contenente il malware DroidJack |
| 12 luglio 2016 | The Guardian e ArsTechnica pubblicano i primi articoli d’allarme su APK infetti circolanti online |
| 18 luglio 2016 | L’app Pokémon GO arriva ufficialmente anche in Italia tramite Google Play Store |
| Agosto 2016 | Check Point pubblica il report “From HummingBad to Worse”, confermando oltre 10 milioni di dispositivi infetti nel mondo |
2. DroidJack (SandroRAT) nella falsa app Pokémon GO
Nel frattempo, una versione modificata dell’APK di Pokémon GO iniziava a diffondersi su forum e siti paralleli. Apparentemente identica all’app ufficiale, conteneva invece DroidJack, un Remote Access Trojan (RAT) di origine indiana già noto nel 2015.
Con DroidJack, chi controllava il malware otteneva pieno accesso allo smartphone: messaggi, chiamate, fotocamera, microfono, contatti, cronologia del browser… e molto altro.
Non servivano privilegi di root: bastava solo che l’utente installasse manualmente l’APK.
Una volta dentro, era quasi indistinguibile dalla versione ufficiale. L’illusione era perfetta, la compromissione, totale.
III. Le “soluzioni”
Per le auto-rooting apps:
Nessuna soluzione semplice.
Il malware si annida in profondità, modificando file di sistema e resistendo ai reset.
Le opzioni:
- Backup manuale dei dati importanti (su USB o cloud)
- Flash completo del firmware
- Supporto tecnico specializzato (e spesso costoso)
Per DroidJack:
Più facile.
- Individuare l’app installata (Pokémon GO)
- Verificare i permessi concessi (acceso a SMS, registrazione audio, chiamate = sospetto)
- Disinstallare immediatamente l’app infetta
- Scaricare solo da Google Play o fonti ufficiali certificate
Ironico, forse: il malware più invasivo era quasi inoffensivo, e quello più semplice da scaricare… era letale.
IV. La riflessione
C’è qualcosa di profondamente emblematico in questa vicenda.
Pokémon GO ci invitava a uscire, esplorare il mondo fisico e, per farlo, ci chiedeva un atto di fede digitale: installare un’app, concedere accessi, fidarci di uno schermo.
Alcuni hanno preferito scorciatoie. E lì, in quel piccolo gesto impaziente, si è aperta la porta al codice malevolo.
Le auto-rooting apps sono l’inconscio del nostro dispositivo: si annidano in profondità, agiscono senza che ce ne accorgiamo, e ci trasformano da utenti a vittime.
DroidJack è invece il doppio perfetto: un clone visivo, un sosia maligno. E ci ricorda che, nell’era digitale, vedere non basta per credere.
V. Otto anni dopo
Oggi abbiamo antivirus su smartphone, Play Protect, sistemi di verifica in tempo reale.
Eppure continuiamo a installare app da link trovati su Telegram, da APK “craccati”, da siti non verificati.
Il problema non è (solo) il malware.
È la nostra abitudine a fidarci del familiare, anche quando è falso.
Quel Pikachu era quasi uguale.
Quell’app era quasi sicura.
E il sistema era quasi sotto controllo.
VI. Perché CodexSprawl
CodexSprawl è dove archivio e deriva si incontrano: codice e disordine, regola e glitch.
In questo frammento digitale del 2016, come in tanti altri, un piccolo gesto – scaricare un APK – si è trasformato in una rivelazione tecnica, psicologica e culturale.
I malware non sono solo minacce informatiche: sono racconti distorti del nostro rapporto con la tecnologia.
Ed è lì, tra i residui di un’app cancellata o una root invisibile, che continua a vibrare l’eco di una nostra scelta.
Ti è mai capitato qualcosa di simile?
Hai mai installato “quel” file convinto fosse sicuro? Hai mai perso il controllo del tuo dispositivo senza accorgertene? Scrivimi. Forse il prossimo episodio della rubrica potrà partire proprio dalla tua esperienza dimenticata.
Fonti
- K. Edwards, “Shedun/HummingBad”, Lookout Blog
- P. Coogan, “DroidJack: a RAT Tale”, Symantec
- Proofpoint Security Blog
- D. Goodin, “Auto-rooting malware”, ArsTechnica
- “From HummingBad to Worse” – CheckPoint PDF Report
- S. Gibbs, “Pokémon GO and Malware”, The Guardian