APK, sideloading e Google Play: come valutare il rischio reale

Se ti guardi intorno nei forum Android, ti imbatti continuamente nella stessa posizione:
«Installo solo app dal Google Play Store. Gli APK e il sideloading per me sono troppo pericolosi».

A prima vista suona logico. Google ha meccanismi di controllo, Play Protect, policy, e ovunque vedi avvisi contro le «app da origini sconosciute». Allo stesso tempo, il termine sideloading è diventato una sorta di etichetta per tutto ciò che odora di malware, caricamento di codice o aggiramento dei meccanismi di sicurezza.

Il problema è che questa equivalenza è tecnicamente sbagliata e porta a una distorsione pericolosa. Finisci per ignorare quanta malware arriva davvero nel Play Store e sottovaluti quanto possa essere sicuro un file APK firmato e fornito direttamente da un produttore di sicurezza.

Perché molti utenti considerano gli APK «pericolosi» in modo istintivo

È Android stesso a dare il tono: per impostazione predefinita, il sistema blocca le installazioni da «origini sconosciute». Se provi ad aprire un APK dal browser o da un file manager, ti vengono mostrati avvisi piuttosto espliciti. Di default questo è sensato – per gli utenti consumer classici che altrimenti proverebbero qualsiasi download “Free Full Version” che trovano.

L’effetto psicologico è chiaro:

Tutto ciò che non arriva dal Play Store sembra automaticamente insicuro. Allo stesso tempo, le app del Play Store vengono percepite come «controllate» – e la maggior parte degli utenti traduce istintivamente questo in «pulite».

In realtà il quadro è molto più complesso. Nemmeno Google, nelle sue linee guida, dice «tutto ciò che è fuori dal Play Store è male», ma parla di fonti attendibili, e tra queste può rientrare benissimo anche il sito ufficiale di uno sviluppatore.

La formula generica «APK = pericoloso, Play Store = sicuro» è quindi già discutibile a livello concettuale. Per capire il perché, vediamo prima con cosa abbiamo a che fare dal punto di vista tecnico.

Che cos’è tecnicamente un APK (e cosa non è)

Un APK è semplicemente il formato di pacchetto di installazione di Android. Nelle FAQ di Protectstar viene descritto molto bene: un file APK è il formato che Android utilizza per installare le app – esattamente come il Google Play Store scarica e installa APK in background.

Il confronto con altre piattaforme aiuta:

Su Windows installi spesso i programmi attraverso installer .exe.
Su macOS si usano immagini .dmg o pacchetti .pkg.
Su Android il formato è .apk.

Dentro questo file trovi:

• bytecode compilato (Dalvik/ART, DEX),
• risorse come grafica, layout, stringhe,
• il manifest con permessi e componenti,
• la firma dello sviluppatore.

Quando installi un’app dal Play Store, avviene esattamente la stessa cosa che con un sideload, solo in modo automatizzato: il sistema scarica un APK dai server di Google e lo installa tramite il PackageManager.
Il tipo di file in sé non è né illegale né automaticamente infetto. Come sottolinea Protectstar nel suo FAQ: un APK non è di per sé illegale o infetto da malware, è solo un contenitore. Ciò che conta è da dove proviene e chi lo ha firmato.
Fonte: https://www.protectstar.com/de/faq/apk-are-apk-files-harmful-are-apk-files-illegal-if-not-downloaded-from-google-play-store

Legalità, catena di fiducia e perché l’origine è tutto

Se osservi l’ecosistema con distacco, puoi riconoscere tre tipi di fonti:

• Siti ufficiali degli sviluppatori
  Un esempio è il sito di Protectstar. Lì ricevi gli APK direttamente dal produttore, firmati con la sua chiave originale, non modificati, senza «intermediari». Le FAQ di Protectstar definiscono giustamente questa variante come in genere legittima, sicura e pulita, purché tu sia davvero sul dominio ufficiale.
• Store ufficiali (Google Play, alcuni store OEM)
  Qui ci sono filtri aggiuntivi: scansioni automatiche, controlli di policy, talvolta anche review manuali. Per l’utente medio è un enorme passo avanti rispetto al cliccare a caso su APK nel web. Ma, come vedremo tra poco, questo strato è tutt’altro che perfetto.
• Portali illegali, siti “Free APK”, crack
  È proprio qui che nascono la maggior parte delle storie dell’orrore. Si sconsiglia esplicitamente di scaricare versioni «gratuite» di app a pagamento da siti sospetti, perché questi pacchetti sono spesso manomessi e arricchiti con spyware o trojan.

Dal punto di vista strettamente della sicurezza, un APK scaricato dal sito legittimo del produttore è più paragonabile a un deployment aziendale o a un push MDM che a un «random APK dal web». Quindi non si tratta del se fai sideloading, ma della catena di fiducia:
Dominio → Produttore → Firma → Architettura dell’app.

Sideloading non è la stessa cosa di «caricare codice»

A questo punto dobbiamo distinguere con chiarezza due concetti che nel linguaggio quotidiano vengono continuamente confusi:

Sideloading significa: installi un’app non tramite il Play Store, ma da un’altra fonte. Può essere un download dal browser, un push MDM, un’installazione via ADB o uno store aziendale. Descrive solo la modalità di installazione.

Caricamento dinamico di codice significa: l’app installata scarica, dopo l’installazione, ulteriore codice eseguibile dalla rete – spesso come file DEX, contenitore ZIP o plugin modulare – e lo esegue in fase di runtime.

Dal punto di vista di un threat model, è il caricamento dinamico di codice la parte davvero critica. È proprio questo meccanismo che viene usato da molti malware Android: un’app apparentemente innocua si comporta da dropper, scarica in un secondo momento il payload reale e si trasforma in qualcosa di completamente diverso rispetto a ciò che era stato inizialmente analizzato e approvato.

Questo approccio è totalmente indipendente dal fatto che l’installazione iniziale sia avvenuta attraverso Google Play o tramite sideloading. Esistono app nel Play Store che contengono questi loader e che solo in seguito «si armando»; ed esistono APK firmati e distribuiti direttamente da produttori seri che volutamente non caricano codice dinamico, ma si modificano esclusivamente tramite aggiornamenti regolari.

Se quindi associ automaticamente «sideloading» a «malware scaricato in seguito», stai mescolando due livelli diversi. La formulazione corretta sarebbe: dovresti evitare app la cui architettura è pensata per caricare nuovi moduli di codice non verificato durante l’esecuzione – indipendentemente da dove le hai installate.

Quanta malware finisce davvero nel Google Play Store

Se ti limiti agli avvisi di Play Store sulle «origini sconosciute», potresti pensare: «Se resto fedele allo store, sono al sicuro». Lo stato attuale delle cose racconta un’altra storia.

Un rapporto recente di Zscaler, riassunto tra gli altri da Tom’s Guide, mostra che tra giugno 2024 e maggio 2025 sono state individuate 239 app malevole nel Google Play Store, per oltre 40 milioni di download complessivi. Questo corrisponde a un aumento di circa il 67 % di malware mobile rispetto all’anno precedente. Nel mirino in particolare: spyware e trojan bancari specializzati nell’abuso dei pagamenti mobili e delle credenziali di accesso.

Parallelamente, i ricercatori di ThreatLabz e Zscaler hanno analizzato nell’estate 2025 una campagna in cui sono state scoperte 77 app malevole con oltre 19 milioni di installazioni complessive nel Play Store, poi rimosse. Queste app diffondevano, tra gli altri, il malware bancario Anatsa (TeaBot) e varianti di Joker e Harly.

Lo schema è sempre simile:

All’inizio l’app si presenta come uno strumento apparentemente utile, ad esempio un visualizzatore di documenti, un’app salute o un cleaner. Dopo l’installazione agisce come dropper, si collega a un server di comando e controllo, scarica ulteriore codice DEX cifrato e solo allora attiva la sua reale funzionalità dannosa: dall’intercettazione degli SMS all’iscrizione a servizi premium fino alla manipolazione mirata delle app di mobile banking.

Anche gli esperti di sicurezza di Protectstar trovano quasi ogni giorno app nel Google Play Store infettate dal trojan Android Joker, nonostante i controlli approfonditi di Google.

Il messaggio centrale di questi report è inequivocabile:
Il Play Store riduce i rischi, ma non è una «zona libera da malware». Anche con Play Protect, scansioni basate su machine learning e controlli di policy, malware molto sofisticati riescono regolarmente a superare i processi di review, restando online per settimane o mesi e raggiungendo milioni di dispositivi prima di essere scoperti e rimossi.

Se quindi dici: «Mi fido solo del Play Store, tutto il resto è troppo pericoloso», stai ignorando il fatto che una parte significativa del malware moderno per Android viene distribuita proprio tramite questo canale.

Perché i vendor di sicurezza offrono consapevolmente APK al di fuori del Play Store

La domanda ovvia è: se il Play Store fornisce almeno uno strato aggiuntivo di controllo, perché vendor di sicurezza come Protectstar rinunciano a questo «bonus» e offrono le loro edizioni Premium, Professional o Government come APK scaricabili direttamente?

La risposta ha diverse componenti:
Primo, molte funzioni rilevanti per la sicurezza sono limitate dalle policy del Play Store. Questo riguarda, ad esempio, l’ad‑blocking aggressivo, determinati meccanismi di firewall, interazioni più profonde con il sistema o la cancellazione sicura di SMS e dati come quella offerta da iShredder. Google vieta o riduce tali funzioni perché entrano in conflitto con linee guida d’uso generali o con interessi commerciali. Le versioni APK fornite direttamente da Protectstar possono includere queste funzioni in modo completo.

Secondo, il processo di approvazione del Play Store è un collo di bottiglia per gli aggiornamenti critici di sicurezza. Ogni nuova versione deve essere inviata, controllata e approvata. Protectstar sottolinea che le sue app, scaricate come APK diretti, dispongono di un proprio sistema di aggiornamento e possono quindi distribuire patch importanti e nuove funzioni spesso con alcuni giorni di anticipo rispetto allo store.

Terzo, entra in gioco la protezione dei dati e la trasparenza. Un download diretto dal sito del produttore significa: niente SDK di tracking aggiuntivi, niente livelli di telemetria legati allo store e nessun modello di pagamento in cui un terzo – in questo caso Google – incassa fino al 30 % di commissione, costringendo molti sviluppatori a cercare forme di monetizzazione aggiuntive.

Infine c’è anche un punto molto pratico:
Aziende e utenti professionali spesso desiderano distribuire gli strumenti di sicurezza tramite workflow propri e gestire le licenze in modo centralizzato – indipendentemente da account Google personali, policy del Play Store o restrizioni regionali. Gli APK firmati con integrazione MY.PROTECTSTAR si integrano molto meglio in questi scenari.

Dal punto di vista di un utente esperto, ne risulta un quadro diverso: rinunciare al Play Store, in questo caso, non è un rischio di sicurezza, ma al contrario una condizione necessaria per poter offrire una versione di un’app di sicurezza completa, aggiornata rapidamente e rispettosa della privacy.

Android System SafetyCore: quando la «sicurezza» stessa diventa una scatola nera

Un buon esempio di quanto la situazione sia diventata complessa è Android System SafetyCore.

Protectstar ha dedicato a questo servizio un articolo specifico sul blog (https://www.protectstar.com/de/blog/android-system-safetycore-hidden-installation-and-what-you-should-know). Vi si descrive come su molti dispositivi Android sia improvvisamente comparsa una nuova app di sistema chiamata «Android System SafetyCore» – senza icona, senza opt‑in ufficiale, in alcuni casi visibile solo nell’elenco delle app di sistema.

Secondo Google, SafetyCore dovrebbe analizzare localmente sul dispositivo le immagini per riconoscere, ad esempio, nudità o altri «contenuti sensibili» e, se necessario, filtrarli o sfocarli. Google sottolinea che le analisi avvengono on‑device e che le foto non vengono caricate. Nonostante ciò, il comportamento suscita disagio: l’app è stata distribuita in silenzio in background tramite servizi di sistema o di Play, senza che gli utenti abbiano dato un consenso attivo.

Protectstar fa giustamente notare che qui il problema non è tanto la funzione in sé, quanto la mancanza di trasparenza e controllo. Quando un produttore introduce sul tuo dispositivo, senza annunciarlo, un componente di scansione profondamente integrato, il confine tra «funzione di sicurezza» e «potenziale di sorveglianza» diventa molto sottile, e le questioni di fiducia sono inevitabili.

Nel nostro contesto è interessante soprattutto questo: SafetyCore viene distribuito tramite la stessa infrastruttura che per impostazione predefinita è considerata «affidabile», cioè i servizi di sistema Google e il canale dell’ecosistema Play. Questo dimostra quanto sia poco sensato legare la fiducia solo al canale «Play Store vs. APK». La domanda decisiva è: chi ha il controllo, quanta trasparenza c’è e quanto puoi vedere di ciò che accade in background?

Strumenti come Anti Spy, Antivirus AI e Firewall AI sono quindi progettati espressamente per rilevare, analizzare e, se lo desideri, isolare dalla rete anche processi di sistema come SafetyCore – ancora una volta tramite APK firmati direttamente dal produttore, non subordinati alla buona volontà del Play Store.

Come usare gli APK in modo professionale se sei un utente esperto

Se hai un buon livello tecnico, di solito non vuoi semplicemente «vietare tutto ciò che non sembra targato Google», ma avere un modello di minaccia sensato. Per gli APK questo significa:
Non formuli una regola dogmatica tipo «mai sideloading», ma distingui in base agli ancoraggi di fiducia e all’architettura.

In pratica può funzionare così:
Per ogni app, indipendentemente dal canale di installazione, controlli chi c’è dietro.
Si tratta di un produttore conosciuto, con una storia verificabile, un’impronta legale, una struttura di supporto e una privacy policy chiara? Oppure di un account sviluppatore appena creato, senza reputazione, la cui prima app è per caso un «Battery Optimizer», «Super Cleaner» o «Document Viewer»? Proprio questo tipo di utility, negli ultimi anni, è stato spesso usato come vettore per campagne con Joker, Harly o Anatsa.

Esamini i permessi e ti chiedi se siano proporzionati allo scopo.
Un’app che deve solo impostare uno sfondo non ha bisogno di leggere gli SMS; un cleaner non ha bisogno dei servizi di accessibilità; un visualizzatore di documenti non deve per forza avere accesso completo a tutti i file. In molte delle campagne analizzate attorno a Joker & co., la combinazione di categoria apparentemente innocua e permessi eccessivi è stata il campanello d’allarme.

Riduci attivamente la tua superficie d’attacco rimuovendo le app che non usi più davvero, invece di lasciarle lì «magari in futuro». Ogni app in più – che provenga dallo store o da un APK – aumenta i potenziali vettori di attacco.

Dove stiamo andando: sviluppatori verificati e sideloading più professionale

Un altro sviluppo da tenere d’occhio è il nuovo Developer Verification Program di Google: nei prossimi anni – l’obiettivo è il 2026 – ogni app sui dispositivi Android certificati dovrà essere associata a un account sviluppatore verificato, con identità e informazioni di contatto controllate.

Quello che a prima vista sembra un ulteriore ostacolo al sideloading è in realtà un passo verso un ecosistema più professionale. In futuro sarà più difficile per account anonimi e usa‑e‑getta pubblicare in massa app malevole – indipendentemente dal fatto che passino dal Play Store o da canali alternativi. I vendor seri, in particolare nel settore della sicurezza, lavoreranno con account verificati e potranno comunque distribuire i loro APK tramite infrastrutture proprie.

Per te, come power user, questo significa che in futuro il confine sarà ancora più netto tra «produttori noti e verificati, con identità tracciabile» e «chiunque, qui oggi e sparito domani». È esattamente il modello di cui parliamo: non un bianco‑nero lungo la linea del Play Store, ma una valutazione del rischio per produttore e per app.

Digressione: ti serve davvero un antivirus su Android?

Se installi in modo molto disciplinato, controlli i permessi e tieni attivo Play Protect, abbassi il rischio – ma non lo azzeri. Il motivo è che gli attaccanti hanno adattato le loro tattiche: anche all’interno dell’ecosistema ufficiale di Google Play compaiono regolarmente campagne che si attivano solo dopo l’installazione, ad esempio tramite codice caricato dinamicamente. In questo modo “tool” apparentemente innocui riescono a passare per settimane davanti a milioni di utenti prima di essere bloccati – nel periodo giugno 2024 – maggio 2025 sono state documentate 239 app dannose sul Play Store con oltre 42 milioni di installazioni complessive. Non è teoria, è documentato da report indipendenti.

La distinzione importante è sempre la stessa: sideloading contro caricamento di codice. Il sideloading descrive solo il percorso di installazione, non il comportamento dell’app in esecuzione. Un’app del Play Store può tranquillamente scaricare in seguito ulteriori payload e trasformarsi in qualcosa di diverso da ciò che lo store aveva originariamente analizzato. Viceversa, un APK firmato e fornito direttamente dal produttore può essere progettato in modo da non caricare codice di terze parti arbitrario e da cambiare solo tramite aggiornamenti firmati. Per il tuo threat model personale conta quindi meno il canale e molto di più l’architettura dell’app.

Qui entrano in gioco Antivirus AI e Anti Spy – come ulteriore livello di protezione indipendente dal canale:

Antivirus AI affronta l’intero spettro del malware con un approccio a doppio motore (firme classiche più IA che apprende) e monitoraggio in tempo reale.

Anti Spy è focalizzato sulla nicchia spyware/stalkerware, con i tipici trucchi di persistenza come l’abuso dei servizi di accessibilità, nomi di pacchetto poco appariscenti e servizi in background discreti.

La combinazione colma le lacune che rimangono con il semplice «installare con prudenza» e con Play Protect.

E non devi basarti solo sulle promesse del produttore: esistono prove oggettive. AV‑TEST certifica regolarmente app di protezione Android in scenari di laboratorio standardizzati.

Antivirus AI è stato premiato in più cicli di test e nel 2025 viene confermato «per il terzo anno consecutivo»; la pagina prodotto e le news riportano, tra l’altro, un 99,8 % di rilevamento in tempo reale e un 99,9 % sul malware diffuso su larga scala.

Anti Spy ha ricevuto un certificato AV‑TEST già nel gennaio 2024; il report indica un 99,8 % di rilevamento in tempo reale e un 100 % nel set delle quattro settimane.

È una base solida per dire che entrambi i prodotti funzionano non solo sulla carta ma anche secondo le metriche di laboratorio.

La seconda colonna è l’architettura di sicurezza dell’app. Attraverso l’App Defense Alliance, DEKRA verifica con MASA L1 (basato su OWASP MASVS L1) se un’app implementa correttamente i controlli di sicurezza fondamentali: comunicazione cifrata, niente dati sensibili salvati in chiaro, design corretto di permessi e componenti esposti e uso sicuro delle librerie. Sia Antivirus AI (pacchetto com.protectstar.antivirus) che Anti Spy (com.protectstar.antispy.android) hanno superato MASA L1; i report ufficiali ADA indicano il tipo di validazione «Level 1 – Verified Self», la verifica della scansione da parte di DEKRA e le rispettive date di emissione (17.03.2025 e 06.03.2025). Per te questo significa: non è solo il motore di rilevamento a essere valido, anche la base tecnica dell’app è irrobustita secondo criteri riconosciuti.

Che la combinazione di prestazioni in laboratorio e architettura pulita venga riconosciuta anche al di fuori della bolla della sicurezza lo dimostrano i premi recenti: nel 2025 Antivirus AI è stato insignito dalla Business Intelligence Group del BIG Innovation Award e dell’AI Excellence Award – non sono certificazioni tecniche in senso stretto, ma segnali chiari che l’approccio tecnologico e la roadmap convincono. I comunicati dell’azienda documentano questi riconoscimenti e li inquadrano nello sviluppo del prodotto.

Se metti tutto insieme, il quadro è piuttosto sobrio: Play Protect rimane una base sensata, la disciplina aiuta sempre, ma le campagne moderne sfruttano proprio le zone grigie in cui i controlli statici intervengono troppo tardi. Un livello aggiuntivo leggero e certificato come Antivirus AI più Anti Spy riduce sensibilmente il rischio residuo – indipendentemente dal fatto che tu prenda le app da Google Play o installi APK firmati direttamente dal produttore. E proprio nel caso delle app di sicurezza, il canale diretto non è una contraddizione, ma un vantaggio: aggiornamenti di sicurezza più rapidi, funzionalità completa e una catena di fiducia tracciabile dal dominio alla firma fino al prodotto.

Conclusione: basta miti, serve un modello di sicurezza maturo

Se metti insieme tutti i pezzi, emerge un quadro molto più maturo del solito «Play Store buono, APK cattivo»:

Un APK non è altro che il formato di installazione standard di Android. Lo stesso Play Store lavora internamente con gli APK.

Il sideloading descrive solo come un’app arriva sul dispositivo – non se poi carichi codice dannoso. La tecnica realmente pericolosa è il caricamento dinamico di codice tramite strutture di dropper, che purtroppo si trova ripetutamente anche nelle app del Play Store.

I numeri attuali mostrano che nella store ufficiale sono state scoperte centinaia di app malevole con decine di milioni di installazioni prima che venissero rimosse. Il Play Store è quindi uno strato di protezione importante, ma per niente perfetto.

Un APK firmato direttamente da un produttore di sicurezza specializzato come Protectstar può offrirti funzionalità completa, aggiornamenti di sicurezza più rapidi e maggiore controllo sulla privacy rispetto allo store – soprattutto nelle edizioni Professional o Government.

Alla fine, ciò che conta non è se installi un’app dal Play Store o tramite APK, ma se hai un modello di fiducia chiaro e tecnicamente fondato:

Sai a quale produttore affidi i tuoi compiti più sensibili.

Capisci, almeno a grandi linee, come funzionano tecnicamente le sue app – in particolare per quanto riguarda permessi e caricamento di codice.

Completi il tutto con strumenti di sicurezza propri, indipendenti dall’ecosistema dello store, che ti diano vera trasparenza su processi e traffico di rete.

Se segui questo approccio, non devi avere paura delle parole «APK» o «sideloading». Al contrario: sfrutti consapevolmente il vantaggio di interagire direttamente con il produttore dove ha senso – e in cambio ottieni esattamente il tipo di sicurezza che vuoi come utente esperto: completa, rapida, comprensibile e non annacquata dalle policy degli store.