Noti circa sei anni fa come la prima vera minaccia per gli utenti di Android, SMS che dirottavano gli utenti su servizi “premium” rappresentavano ai tempi il pericolo numero 1. Da allora il panorama del malware per dispositivi mobili ha subito notevoli trasformazioni, proprio per questo è curioso che un nuovo tipo di trappola spillasoldi con iscrizione nascosta a servizi „premium“ possa mantenersi per numerose settimane nel Google Play Store e cagionare indisturbata danni economici agli utenti. I G DATA Security Labs ne presentano un esempio in tutti i dettagli.
L’esca
Quando gli utenti si avvalgono di app che offrono servizi premium tramite acquisto in-app o come “ricompensa” per lo svolgimento di “compiti”, non trattandosi di ostacoli troppo gravosi, gli utenti preferiscono fruire di tali proposte “gratuite” senza pensarci due volte. Il produttore della app legittima guadagna ovviamente soldi (provvigioni, introiti pubblicitari e similari) con questo metodo. Ogni azione condotta dagli utenti desiderosi di accedere “gratuitamente” ai propri servizi gli porta profitti. Solo in pochi si chiedono “cosa può mai succedere?“ scambiando “lavoro“ (scaricare, installare, avviare la app proposta) con tempo utile per la fruizione dei servizi premium.
In questo quadro, una particolare app “trappola” (Blend Color Puzzle) ha attirato l’attenzione dei G DATA Security Labs. Proposta da una nota dating app per Android come “strumento” per “guadagnarsi” ore di fruizione dei servizi della app legittima, il gioco gratuito, graficamente simile a Blendoku, registrava a due mesi dalla pubblicazione circa 100.000 download. Un numero stupefacente per il probabile primo lavoro dello sviluppatore (fartye.polisertg@gmail.com) o dell’azienda (GHR Corp) –nominati nella pagina informativa della app e di cui non sono presenti altre app sullo Store. Dalle analisi è emerso che la dating app in questione non era la sola a proporre il gioco, nei commenti (circa mille di cui oltre il 25% negativi e contenenti avvisi sulla trappola spillasoldi) vengono menzionati almeno altri due programmi, tramite i quali gli utenti sono stati indirizzati verso il gioco. In questo modo la app si è assicurata un numero di download elevato in poco tempo.
La trappola
Dopo l’avvio del gioco l’utente riceve due SMS con la notifica di sottoscrizione a ben due abbonamenti del valore di € 4,99 / settimana, senza alcuna precedente interazione. In tutto la app di gioco mostra un congruo numero di variabili e azioni dipendenti l’una dall’altra. Ad esempio, 60 secondi dopo aver tagliato la connessione al wifi domestico con passaggio dal wifi alla rete mobile, la app lancia una cosiddetta Webview, quindi una pagina web, che però non viene mostrata all’utente. Le analisi dei G DATA Security Labs evidenziano che questa sia la connessione al server utilizzata per la trasmissione dei dati per la fatturazione tramite WAP-Billingdell’abbonamento mai sottoscritto. Tale attività è stata identificata dalle soluzioni di sicurezza G DATA e resa innocua.
La rimozione della app
Attualmente l’app è stata rimossa dal Play Store. Attenzione però ad altre minacce simili che sono sempre in agguato.
