Pushpaganda segna un salto di qualità nelle campagne di ad fraud e scareware perché sfrutta direttamente la fiducia implicita che gli utenti ripongono in Google Discover. La minaccia, attribuita ai ricercatori di HUMAN Security Satori Threat Intelligence, utilizza contenuti generati da intelligenza artificiale per infiltrarsi nei feed personalizzati di notizie e spingere gli utenti verso pagine che richiedono l’attivazione di notifiche push persistenti. Il dato più impressionante riguarda la scala: la campagna ha raggiunto 240 milioni di bid request in sette giorni attraverso una rete di 113 domini, trasformando i suggerimenti di Discover in un canale di distribuzione per scareware, falsi arresti, truffe finanziarie e traffico pubblicitario invalido. L’operazione è nata in India, ma si è rapidamente estesa a Stati Uniti, Australia, Canada, Sudafrica e Regno Unito, dimostrando come i feed algoritmici possano essere manipolati con contenuti sintetici altamente ottimizzati. Google è già intervenuta con una correzione mirata per ridurre la visibilità di queste pagine malevole.
Cosa leggere
Pushpaganda sfrutta Google Discover come vettore di distribuzione
Il cuore della campagna consiste nell’abuso dell’algoritmo di Google Discover, che suggerisce articoli agli utenti sulla base di cronologia, interessi e segnali comportamentali. Gli attaccanti pubblicano notizie false su una costellazione di domini che simulano perfettamente siti editoriali, utilizzando testi prodotti con IA generativa in grado di imitare tono giornalistico, struttura SEO e argomenti di tendenza. Questo consente ai contenuti di apparire naturali nel feed mobile, aumentando il tasso di clic rispetto ai tradizionali schemi di malvertising.
Una volta aperto l’articolo, la vittima viene guidata verso un’interfaccia costruita per sembrare credibile, spesso con richiami a emergenze digitali, avvisi legali o notizie sensazionali. Il passaggio chiave è l’invito ad abilitare le notifiche push del browser, presentato come necessario per leggere aggiornamenti, sbloccare contenuti o ricevere alert urgenti. In realtà, l’iscrizione trasforma il browser in un canale persistente di delivery per scareware e reindirizzamenti fraudolenti.
I contenuti IA permettono di saturare i feed con 113 domini
L’uso dell’intelligenza artificiale è centrale nella scalabilità di Pushpaganda. Gli operatori generano automaticamente testi, titoli e immagini in grandi volumi, mantenendo elevata la freschezza semantica dei contenuti e riducendo i pattern ripetitivi che potrebbero facilitare il rilevamento algoritmico. I 113 domini osservati funzionano come una content farm distribuita, in cui ogni sito ospita decine o centinaia di articoli varianti costruiti per temi locali, trend del momento o allarmi di sicurezza.
Questo modello permette di adattare la campagna ai mercati geografici. In India, per esempio, i temi iniziali sfruttavano notizie di forte interesse locale, mentre l’espansione verso paesi anglofoni ha introdotto varianti più orientate a sicurezza, finanza personale e notifiche legali. La generazione sintetica consente di testare rapidamente nuovi cluster di keyword e headline per capire quali articoli entrano più facilmente nei feed Discover.
Le notifiche push portano a scareware e truffe finanziarie
Dopo l’iscrizione alle notifiche, la monetizzazione si divide su due assi. Il primo è lo scareware, con avvisi che simulano problemi di sicurezza, presunti malware rilevati, multe, arresti o blocchi del dispositivo. Il secondo è la financial fraud, dove le notifiche promettono vincite, investimenti, rimborsi o opportunità limitate nel tempo. In entrambi i casi, il meccanismo psicologico è l’urgenza: l’utente clicca per far sparire il problema o per non perdere l’occasione.
Le landing page successive sono spesso costruite per massimizzare il valore pubblicitario di ogni visita, integrando ad network fraudolenti, redirect a pagine di phishing o download di applicazioni malevole. Questo rende Pushpaganda estremamente redditizia, perché ogni singolo utente genera valore sia come impression pubblicitaria sia come potenziale vittima di frode.
240 milioni di bid request mostrano la scala industriale dell’ad fraud
Il numero di 240 milioni di bid request in una settimana è il segnale più forte della dimensione industriale dell’operazione. Ogni clic sui contenuti Discover e ogni apertura delle notifiche genera traffico apparentemente organico da dispositivi reali, una caratteristica che rende la frode molto più difficile da distinguere dal comportamento legittimo. Dal punto di vista delle piattaforme advertising, questo si traduce in invalid traffic (IVT) ad alto valore, perché proviene da utenti reali ingannati e non da bot tradizionali.
La combinazione di feed personalizzati, notifiche persistenti e traffico da smartphone autentici crea una catena di monetizzazione estremamente efficiente. Gli attaccanti non hanno bisogno di forzare installazioni complesse: basta entrare nel feed giusto, ottenere il consenso alle notifiche e poi sfruttare la persistenza del browser per mantenere un flusso costante di traffico.
Google corregge Discover dopo la segnalazione di HUMAN
La risposta di Google è stata relativamente rapida. Dopo la disclosure di HUMAN Security, l’azienda ha aggiornato i filtri di ranking e spam di Discover per ridurre la visibilità dei contenuti sintetici riconducibili alla campagna e bloccare i domini coinvolti. L’intervento ha colpito soprattutto la parte iniziale della catena, cioè la capacità dei siti malevoli di apparire come suggerimenti personalizzati affidabili.
Il valore strategico di questa correzione è elevato perché colpisce il canale di acquisizione utenti, che rappresentava il principale vantaggio competitivo della campagna rispetto al classico malvertising da banner o SEO poisoning. Tuttavia, la stessa dinamica dimostra che i feed di scoperta automatica possono diventare un target privilegiato per future operazioni che sfruttano IA generativa e manipolazione semantica.
Come difendersi da notifiche push e feed manipolati
Per gli utenti la protezione più efficace resta la gestione rigorosa delle notifiche browser. È fondamentale non autorizzare richieste push provenienti da siti di notizie sconosciuti o da pagine che usano toni allarmistici. In Chrome, la sezione notifiche permette di revocare rapidamente i domini sospetti e bloccare nuove richieste da fonti non affidabili. Dal punto di vista editoriale e SEO, Pushpaganda è anche un segnale forte per chi lavora con Google Discover in modo legittimo: l’algoritmo premia freschezza, rilevanza e engagement, ma gli stessi segnali possono essere abusati da content farm IA se non vengono filtrati correttamente. Per questo la qualità editoriale, l’autorevolezza del dominio e la fiducia del brand restano elementi sempre più centrali nella difesa dell’ecosistema informativo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
