Attori malevoli stanno iniettando fatture di acquisto false direttamente nell'app Shop di Shopify, sfruttando la percezione di trust dell'applicazione per indurre le vittime a chiamare numeri di telefono e cedere credenziali, dati di pagamento e persino installare software di accesso remoto. La campagna, documentata oggi da ricercatori di Gen Digital e riportata da BleepingComputer, colpisce un'app con 50 milioni di download su Google Play e 7 milioni di valutazioni su Apple App Store. Il meccanismo esatto di inserimento delle fatture false resta non confermato.
- Fatture false che impersonano brand come Norton, McAfee, Apple e PayPal compaiono nelle cronologie ordini dell'app Shop di Shopify, mescolate agli acquisti legittimi degli utenti.
- I ricercatori di Gen Digital non hanno potuto confermare il canale di inserimento: email parsing, associazione account e workflow ordini sono tutti potenziali vettori, nessuno verificato.
- Gli operatori al telefono, spacciandosi per supporto tecnico, estraggono credenziali, dati di pagamento e OTP; in alcuni casi inducono l'installazione di software di accesso remoto.
- Gen Digital afferma che non c'è evidenza di compromissione di Shop, Shopify o delle aziende impersonate, ma il problema non ha ricevuto risposta ufficiale da Shopify al momento della pubblicazione.
Come funziona l'attacco: dal trust dell'app al callback
Le fatture false includono numeri di telefono per "disputare" presunti acquisti. Le vittime, vedendo l'ordine in un'app percepita come affidabile, chiamano i numeri e vengono messe in contatto con operatori che fingono supporto clienti. Questi ultimi usano ingegneria sociale per ottenere credenziali di account, dati di pagamento e codici OTP. In alcuni casi, le vittime sono indotte a installare software che concede accesso remoto ai propri dispositivi.
L'app Shop aggrega ordini da multiple fonti: parsing delle email, associazione di account e workflow ordini. Questa architettura di popolamento, progettata per comodità utente, espande la superficie di attacco senza necessità di compromettere l'infrastruttura di Shopify. La fonte non specifica quale di questi canali sia stato abusato, né se l'inserimento avvenga a livello di singolo utente o in batch.
Il trust transitivity violato: perché questo phishing è diverso
Il paradigma tradizionale del phishing si basa sulla falsificazione del mittente: email sospette, domini typosquatted, header manipolati. La difesa corrispondente — verificare il mittente, controllare il dominio, non cliccare link — fallisce qui. La fattura non arriva da fuori: risiede dentro un'app legittima, scaricata da decine di milioni di utenti, con rating elevati e presenza stabile negli store ufficiali.
Questo sposta il problema dal riconoscimento della minaccia alla comprensione del contesto. L'utente che controlla l'app Shop per tracciare un pacco legittimo trova, nella stessa interfaccia, un ordine fraudolento con un numero di telefono. La trust boundary, normalmente rappresentata dalla distinzione tra app store ufficiale e side-loading, tra email verificata e spam, viene erosa dall'interno.
Il fenomeno non è tecnicamente una compromissione di Shopify, secondo la fonte. È piuttosto un abuso di funzionalità legittime di aggregazione, che converte la piattaforma in un vettore involontario di ingegneria sociale. Questa distinzione ha conseguenze operative: non esiste una patch da applicare, né un indicatore di compromissione semplice da ricercare.
Perché è importante
Il dossier non specifica la scala dell'attività: numero di vittime confermate, volume di fatture false in circolazione, eventuali pattern geografici. Non emerge se Gen Digital abbia pubblicato indicatori di compromissione (IoC) per le fatture false o i numeri di telefono utilizzati. La fonte non documenta misure correttive specifiche né raccomandazioni operative dirette agli utenti o alle aziende.
Shopify non ha risposto alla richiesta di commento di BleepingComputer al momento della pubblicazione. Questo silenzio lascia aperti interrogativi sulla consapevolezza del problema in casa del vendor e sulla possibilità di mitigazioni lato piattaforma, come il filtraggio delle fatture da fonti non verificate o l'aggiunta di segnalazioni di ordini sospetti.
Per le aziende i cui brand vengono impersonati — Norton, McAfee, Apple, PayPal — il rischio è reputazionale e operativo: clienti che credono di contattare il supporto tecnico legittimo finiscono invece in mani di truffatori, con potenziale danno alla relazione di fiducia anche senza compromissione dei sistemi del brand stesso.
Che cosa la fonte non conferma
Il meccanismo tecnico di inserimento delle fatture è il punto oscuro centrale del dossier. I ricercatori hanno esaminato email parsing, associazione account e workflow ordini, ma "nessuno in particolare è potuto essere confermato come canale di consegna". Questo limite impedisce di definire l'attacco come vulnerabilità software, abuso di API aperte, compromissione di terze parti o altro vettore.
La fonte non specifica se l'inserimento richieda azione preliminare della vittima, come la registrazione su un sito fittizio, o se possa avvenire senza interazione utente. Non emerge se le fatture false siano visibili solo a utenti specifici o se la distribuzione sia più ampia. Il dossier non documenta se l'app Shop disponga di funzionalità di segnalazione ordini sospetti o se tali funzionalità siano state attivate in risposta alla campagna.
"Shop is a legitimate shopping app, and users inherently trust it, so orders that appear there are far more likely to prompt responses from unsuspecting users" — Gen Digital researchers via BleepingComputer
Cosa succede dopo: domande aperte sulle piattaforme di aggregazione
La campagna solleva un problema strutturale per le piattaforme di aggregazione ordini. Quando un'app legittima diventa vettore di contenuto malevolo senza compromissione dell'infrastruttura, le responsabilità di mitigazione si spostano dal security team del vendor alla progettazione del prodotto: come verificare l'autenticità delle fatture inserite, come segnalare anomalie agli utenti, come bilanciare friction e trust.
Il caso Shop si aggiunge a una crescente serie di abusi di piattaforme connesse — non solo e-commerce, ma anche aggregatori di spedizioni, servizi di delivery, app di pagamento — dove la comodità di integrazione multi-sorgente crea falle nella catena di fiducia. La differenza qui è la scala: 50 milioni di download significano una base di potenziali vittime che supera la maggior parte delle campagne di phishing tradizionale.
La fonte non specifica se Shopify stia lavorando a una risposta, né se esista una timeline per eventuali aggiornamenti dell'app. Fino a nuova comunicazione ufficiale, gli utenti non hanno strumenti automatici per distinguere ordini legittimi da fatture false all'interno della stessa interfaccia.
Le informazioni sono basate sull' advisory citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/order-tracking-app-shop-abused-to-push-callback-phishing-attacks/
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://nvd.nist.gov/vuln/detail/CVE-2026-3910
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.