Sviluppatori di applicazioni senza scrupolo hanno individuato una lacuna all’interno delle policy del Play Market, riuscendo così ad addebitare agli utenti centinaia di euro. I SophosLabs hanno scoperto un elevato numero di app Android presenti sul Google Play Market che hanno come unico obiettivo quello di “spennare” gli utenti offrendo funzionalità base disponibili su applicazioni gratuite o a basso costo. Gli sviluppatori di queste app approfittano di un modello di business disponibile nell’ecosistema del Play Market in cui gli utenti possono scaricare e usare un’applicazione gratuitamente per un breve periodo. Quando la prova finisce, se l’utente che ha installato queste app non ha disinstallato ed informato lo sviluppatore di non voler più usufruire del servizio, lo sviluppatore addebita un costo.
In caso di app legittime questo processo può costare pochi euro. Ma in questo caso vengono invece addebitati centinaia di euro (o dollari, in base alla zona geografica in cui risiede l’utente). Queste applicazioni non sembrano malevole né contenere codice pericoloso: alcune possono anche risultare utili (sebbene ridondanti). È comunque difficile immaginare che un utente sia disposto a pagare centinaia di euro per un lettore di codice a barre, o un’app per modificare le foto. Poiché queste app non possono essere catalogate né come malware né come applicazioni potenzialmente indesiderate (PUA), Sophos ha coniato il termine fleeceware, perché la caratteristica primaria è quella di spennare (to fleece) gli utenti in cambio di funzionalità disponibili in applicazioni gratis o molto più economiche. I ricercatori di Sophos hanno contattato i responsabili del Google Play Market per capire se queste app violassero le policy, interne o pubbliche, di Google.
“Non abbiamo ricevuto risposta da parte dei rappresentanti di Google in merito agli abbonamenti mensili da centinaia di euro per applicazioni con funzionalità di base che violano le loro politiche di acquisto in-app. La settimana scorsa, dopo che Sophos ha portato alla loro attenzione questo comportamento di acquisto e ha inviato una lista di 15 applicazioni, un rappresentante di Google ha segnalato che l'azienda ha deciso di ritirarne alcune dallo store e in effetti 14 delle 15 applicazioni sono state rimosse. Un’analisi più approfondita ha rivelato un altro gruppo di applicazioni simili, con un numero di download ancora più elevato rispetto al primo, tuttora disponibili sul Play Market. Spiegano gli esperti Sophos “Google dovrebbe a nostro avviso dedicare particolare attenzione a questa problematica in quanto al momento le policy predefinite non proibiscono esplicitamente agli sviluppatori di app di trarre vantaggio da questa lacuna del regolamento. Non sempre gli utenti hanno la possibilità di chiedere il rimborso dopo pochi giorni. Se un utente non sta monitorando costantemente la propria carta di credito, potrebbe non accorgersi della truffa in tempo utile per chiedere un rimborso”
Il modello di business Fleeceware
Poiché le applicazioni stesse non sono impegnate in nessun tipo di attività tradizionalmente dannosa, esse riescono ad aggirare le regole che altrimenti renderebbero facile per Google giustificare la loro rimozione dal Play Market. Chi le sviluppa sembra inoltre essere molto bravo nel non farsi notare dai fornitori di sicurezza.
Queste applicazioni sono, fondamentalmente, semplici. Abbiamo osservato strumenti come lettori di QR o lettori di codici a barre, calcolatrici, strumenti per creare GIF animate, o editor di foto. Nella maggior parte dei casi, ci sono alternative gratuite di noti fornitori già disponibili sul Play Market.
Quando si esegue una qualsiasi di queste applicazioni, viene richiesto all'utente di registrarsi per un periodo di prova gratuita molto breve, di solito 3 giorni, attraverso un'interfaccia all'interno dell'applicazione stessa. I produttori di app richiedono di registrarsi con le informazioni di pagamento prima di poter eseguire l'app, e molti utenti non riescono a capire che, per poter uscire dalla prova, devono dire esplicitamente allo sviluppatore che stanno cancellando il periodo di prova. Molti semplicemente dimenticano di farlo, o pensano che la disinstallazione dell'app costituisca una cancellazione. Ma gli sviluppatori dell'app non la vedono in questo modo. In molte recensioni di applicazioni fleeceware, gli utenti riferiscono di non essere riusciti a cancellarsi dopo il periodo di prova, e di vedersi addebitato somme di denaro molto elevate. Nel caso di un'applicazione di lettura di codici QR, lo sviluppatore addebita agli utenti 104,99 euro dopo 72 ore. I creatori di un'applicazione chiamata Professional GIF Maker addebitano agli utenti €214,99 al termine della prova. Si tratta di prezzi assolutamente incongruenti.
Con milioni di installazioni, in alcuni casi, se anche una piccola percentuale di utenti dimentica di cancellare il proprio abbonamento, i creatori di app possono ottenere guadagni molto elevati. Questa è un'analisi di alcune delle applicazioni fleeceware identificate da Sophos su Google Play Market. Come abbiamo accennato in precedenza, 14 applicazioni di questo tipo sono state rimosse dal Play Market da Google dopo la segnalazione fatta dagli esperti Sophos. Quelle elencati di seguito sono ancora disponibili:
Nome del pacchetto dati | Installazioni | Costo (dopo il periodo di prova) |
qr.code.barcode.maker.scanner.reader | 5,000,000+ | €104.99 |
faceapp.facemystery.learnmoreaboutyourself | 10,000,000+ | €104.99 |
com.recorder.video.magic.capture.gameplay | 5,000,000+
| €104.99 |
com.ally.video.recorder | 5,000+
| €114.99 |
com.pey.old.me.face.aging | 50,000+
| €104.99 |
com.gifmaker.giffree.gifeditor | 5,000+ | €219.99 |
com.hidephotovideo.calculatorphotovault | >1,000+ | €104.99 |
com.compasspro.gpscoordinates | 10,000+ | €219.99 |
com.searchbyimage.reverseimagesearch | 10,000+ | €219.99 |
Totale | 20,081,000 (stimato) |
La furia degli utenti
Dalle recensioni degli utenti sul negozio Play Market, si evince chiaramente come molti utenti che hanno installato queste applicazioni e a cui sono stati successivamente addebitati costi esorbitanti siano comprensibilmente furiosi. Gli utenti hanno indicato che sono stati addebitati importi diversi a seconda della loro area geografica. Alcuni chiedono a Google di eliminare queste applicazioni e altri vogliono ottenere un rimborso.
Oltre al danno economico, vi è anche la beffa in quanto queste applicazioni non sono nemmeno particolarmente performanti, uniche o efficaci. Chi ha creato questa trappola si limita a offrire le proprie versioni di applicazioni che spesso vengono rese disponibili (in alcuni casi, gratuitamente) da sviluppatori molto più affidabili.