C’era una volta la click farm: scrivanie e scaffali pieni di smartphone in qualche capannone asiatico, operai pagati per cliccare su pubblicità tutto il giorno. Immagini nitide, facilmente identificabili, combattibili. Poi sono arrivati il mese di settembre 2025 e SlopAds, e tutto è cambiato.
Non servono più capannoni. Non servono operai. Bastano 224 app apparentemente innocue su Google Play e 38 milioni di utenti che le scaricano pensando di ottenere un editor fotografico con l’AI. Il tuo telefono diventa la click farm. Tu diventi l’operaio inconsapevole. E le truffe online scalano a livelli mai visti: miliardi di richieste pubblicitarie false al giorno. Benvenuto nell’era delle ghost click farm, dove i truffatori hanno smesso di comprare telefoni e hanno iniziato a noleggiare i tuoi.
SlopAds, il delitto perfetto
I ricercatori di HUMAN Security hanno chiamato l’operazione SlopAds, un nome che richiama sia la natura pacchiana delle app (prodotte in serie, un po’ come l’AI slop che intasa internet) sia i servizi fasulli a tema intelligenza artificiale ospitati sui server dei criminali. L’indagine ha rivelato un’architettura criminale molto sofisticata che per mesi ha operato indisturbata su Google Play.
Le app funzionavano davvero. Editor fotografici, generatori di immagini AI, assistenti conversazionali: tutto quello che promettevano lo facevano. Ma c’era un dettaglio. Solo gli utenti che scaricavano l’app dopo aver cliccato su una pubblicità gestita dai criminali stessi ricevevano il “regalo extra”. Un modulo malevolo chiamato FatModule, nascosto in quattro immagini PNG attraverso steganografia1 digitale. Sul Play Store non c’era nessun problema. L’app era pulita, l’esperienza di utilizzo era normale.
FatModule creava finestre invisibili (WebView nascoste) che caricavano siti controllati dai truffatori: finti portali di notizie e giochi HTML5 progettati per generare impression pubblicitarie continue. Il telefono simulava scroll, click, visualizzazioni. Il tutto mentre l’utente dormiva, lavorava o guardava serie TV.
I numeri fanno girare la testa
Al picco dell’operazione, SlopAds generava 2,3 miliardi di richieste pubblicitarie false ogni giorno. I 38 milioni di dispositivi infetti erano distribuiti in 228 paesi: praticamente ovunque. Il 30% del traffico proveniva dagli Stati Uniti, il 10% dall’India, il 7% dal Brasile. E l’Italia? Presente anche lei, come sempre quando si parla di truffe online.
Ogni falsa impression generava micropagamenti. Milioni di micropagamenti. I criminali possedevano i siti dove le pubblicità venivano visualizzate, quindi ogni click finto si trasformava in denaro reale. In Italia le truffe online hanno già rubato oltre 600 milioni di euro nel 2024, con un aumento del 30% rispetto all’anno precedente. SlopAds è un salto di qualità: non più phishing o falsi marketplace, ma dispositivi trasformati in strumenti di frode senza che l’utente se ne accorga minimamente.
L’intelligenza artificiale come esca
I criminali hanno cavalcato l’onda dell’hype sull’intelligenza artificiale. App con nomi accattivanti: StableDiffusion Helper, AIGuide, ChatGLM Assistant. Tutte promettevano funzionalità AI gratuite o a basso costo. E le persone hanno abboccato, perché nel 2025 chi non vuole un editor fotografico che genera immagini con un semplice prompt?
Ma l’AI non serviva solo come esca. Uno studio pubblicato su Scientific Reports a luglio 2025 ha dimostrato che il 70% delle persone non riesce a distinguere una voce clonata dall’originale. L’intelligenza artificiale sta potenziando le truffe online su tutti i fronti: dal deepfake vocale che ti chiama fingendosi tuo figlio, ai bot che simulano comportamenti umani per generare click falsi. I truffatori hanno imparato a usare l’automazione e il machine learning per bypassare i filtri delle piattaforme.
Google interviene, ma è già tardi
Dopo la segnalazione di HUMAN Security, Google ha rimosso tutte le 224 app identificate nell’operazione SlopAds e ha attivato Google Play Protect per avvisare chi le aveva ancora installate. Gli utenti colpiti hanno ricevuto notifiche che invitavano alla disinstallazione immediata. Fine della storia? No.
I ricercatori sono chiari: la sofisticatezza di SlopAds suggerisce che i criminali adatteranno lo schema per tornare. L’infrastruttura C2 (command and control) identificata includeva oltre 300 domini promozionali. Una rete troppo estesa per essere stata costruita solo per questa operazione. I criminali stavano già preparando un’espansione.
Il problema di fondo resta: Google riesce a intercettare solo il 10% delle frodi pubblicitarie. Il resto passa. E quando le app funzionano effettivamente come promesso, distinguere quelle legittime da quelle malevole diventa quasi impossibile per i sistemi automatici di verifica del Play Store.
SlopAds, cosa puoi fare
Le difese classiche aiutano, ma non bastano. Controllare i permessi delle app è un buon inizio: se un editor fotografico chiede accesso alla rubrica o alla posizione, qualcosa non quadra. Scaricare solo da fonti ufficiali? Ottimo, ma SlopAds era proprio lì, sul Play Store ufficiale. Usare antivirus? Utile, ma il malware steganografico nascosto in immagini PNG è difficile da intercettare.
La verità è che le truffe online si sono evolute. Non basta più essere prudenti. Serve trattare la frode pubblicitaria come un problema di cybersecurity aziendale, con collaborazione tra team di sicurezza e marketing. Serve rilevamento in tempo reale, non a mesi di distanza.
E serve capire che il tuo telefono, oggi, può diventare uno strumento nelle mani di qualcun altro senza che tu lo sappia.
Note:
- La steganografia digitale è una tecnica che permette di nascondere informazioni segrete dentro file come immagini, audio o video, in modo che non si noti nulla di strano. Per esempio, si può nascondere un messaggio cambiando piccolissime parti di un’immagine, impercettibili all’occhio umano. Così, chi vede il file non si accorge che contiene un messaggio nascosto, che potrà essere estratto solo da chi conosce il metodo per trovarlo. ↩︎
