Milano — Settembre 27, 2019 —

Sviluppatori di applicazioni senza scrupolo hanno individuato una lacuna all’interno delle policy del Play Market, riuscendo così ad addebitare agli utenti centinaia di euro. I SophosLabs hanno scoperto un elevato numero di app Android presenti sul Google Play Market che hanno come unico obiettivo quello di “spennare” gli utenti offrendo funzionalità base disponibili su applicazioni gratuite o a basso costo. Gli sviluppatori di queste app approfittano di un modello di business disponibile nell’ecosistema del Play Market in cui gli utenti possono scaricare e usare un’applicazione gratuitamente per un breve periodo. Quando la prova finisce, se l’utente che ha installato queste app non ha disinstallato ed informato lo sviluppatore di non voler più usufruire del servizio, lo sviluppatore addebita un costo. 

In caso di app legittime questo processo può costare pochi euro. Ma in questo caso vengono invece addebitati centinaia di euro (o dollari, in base alla zona geografica in cui risiede l’utente). Queste applicazioni non sembrano malevole né contenere codice pericoloso: alcune possono anche risultare utili (sebbene ridondanti). È comunque difficile immaginare che un utente sia disposto a pagare centinaia di euro per un lettore di codice a barre, o un’app per modificare le foto. Poiché queste app non possono essere catalogate né come malware né come applicazioni potenzialmente indesiderate (PUA), Sophos ha coniato il termine fleeceware, perché la caratteristica primaria è quella di spennare (to fleece) gli utenti in cambio di funzionalità disponibili in applicazioni gratis o molto più economiche. I ricercatori di Sophos hanno contattato i responsabili del Google Play Market per capire se queste app violassero le policy, interne o pubbliche, di Google.

 “Non abbiamo ricevuto risposta da parte dei rappresentanti di Google in merito agli abbonamenti mensili da centinaia di euro per applicazioni con funzionalità di base che violano le loro politiche di acquisto in-app. La settimana scorsa, dopo che Sophos ha portato alla loro attenzione questo comportamento di acquisto e ha inviato una lista di 15 applicazioni, un rappresentante di Google ha segnalato che l'azienda ha deciso di ritirarne alcune dallo store e in effetti 14 delle 15 applicazioni sono state rimosse. Un’analisi più approfondita ha rivelato un altro gruppo di applicazioni simili, con un numero di download ancora più elevato rispetto al primo, tuttora disponibili sul Play Market. Spiegano gli esperti Sophos “Google dovrebbe a nostro avviso dedicare particolare attenzione a questa problematica in quanto al momento le policy predefinite non proibiscono esplicitamente agli sviluppatori di app di trarre vantaggio da questa lacuna del regolamento. Non sempre gli utenti hanno la possibilità di chiedere il rimborso dopo pochi giorni. Se un utente non sta monitorando costantemente la propria carta di credito, potrebbe non accorgersi della truffa in tempo utile per chiedere un rimborso”

Il modello di business Fleeceware

Poiché le applicazioni stesse non sono impegnate in nessun tipo di attività tradizionalmente dannosa, esse riescono ad aggirare le regole che altrimenti renderebbero facile per Google giustificare la loro rimozione dal Play Market. Chi le sviluppa sembra inoltre essere molto bravo nel non farsi notare dai fornitori di sicurezza.

Queste applicazioni sono, fondamentalmente, semplici. Abbiamo osservato strumenti come lettori di QR o lettori di codici a barre, calcolatrici, strumenti per creare GIF animate, o editor di foto. Nella maggior parte dei casi, ci sono alternative gratuite di noti fornitori già disponibili sul Play Market. 

Quando si esegue una qualsiasi di queste applicazioni, viene richiesto all'utente di registrarsi per un periodo di prova gratuita molto breve, di solito 3 giorni, attraverso un'interfaccia all'interno dell'applicazione stessa. I produttori di app richiedono di registrarsi con le informazioni di pagamento prima di poter eseguire l'app, e molti utenti non riescono a capire che, per poter uscire dalla prova, devono dire esplicitamente allo sviluppatore che stanno cancellando il periodo di prova. Molti semplicemente dimenticano di farlo, o pensano che la disinstallazione dell'app costituisca una cancellazione. Ma gli sviluppatori dell'app non la vedono in questo modo. In molte recensioni di applicazioni fleeceware, gli utenti riferiscono di non essere riusciti a cancellarsi dopo il periodo di prova, e di vedersi addebitato somme di denaro molto elevate. Nel caso di un'applicazione di lettura di codici QR, lo sviluppatore addebita agli utenti 104,99 euro dopo 72 ore. I creatori di un'applicazione chiamata Professional GIF Maker addebitano agli utenti €214,99 al termine della prova. Si tratta di prezzi assolutamente incongruenti. 

Con milioni di installazioni, in alcuni casi, se anche una piccola percentuale di utenti dimentica di cancellare il proprio abbonamento, i creatori di app possono ottenere guadagni molto elevati. Questa è un'analisi di alcune delle applicazioni fleeceware identificate da Sophos su Google Play Market. Come abbiamo accennato in precedenza, 14 applicazioni di questo tipo sono state rimosse dal Play Market da Google dopo la segnalazione fatta dagli esperti Sophos. Quelle elencati di seguito sono ancora disponibili: 

Nome del pacchetto datiInstallazioniCosto (dopo il periodo di prova)
qr.code.barcode.maker.scanner.reader5,000,000+€104.99
faceapp.facemystery.learnmoreaboutyourself10,000,000+€104.99
com.recorder.video.magic.capture.gameplay

5,000,000+

 

€104.99
com.ally.video.recorder

5,000+

 

€114.99
com.pey.old.me.face.aging

50,000+

 

€104.99
com.gifmaker.giffree.gifeditor5,000+€219.99
com.hidephotovideo.calculatorphotovault>1,000+€104.99
com.compasspro.gpscoordinates10,000+€219.99
com.searchbyimage.reverseimagesearch10,000+€219.99
Totale20,081,000 (stimato) 

 

La furia degli utenti

Dalle recensioni degli utenti sul negozio Play Market, si evince chiaramente come molti utenti che hanno installato queste applicazioni e a cui sono stati successivamente addebitati costi esorbitanti siano comprensibilmente furiosi. Gli utenti hanno indicato che sono stati addebitati importi diversi a seconda della loro area geografica. Alcuni chiedono a Google di eliminare queste applicazioni e altri vogliono ottenere un rimborso.

Oltre al danno economico, vi è anche la beffa in quanto queste applicazioni non sono nemmeno particolarmente performanti, uniche o efficaci. Chi ha creato questa trappola si limita a offrire le proprie versioni di applicazioni che spesso vengono rese disponibili (in alcuni casi, gratuitamente) da sviluppatori molto più affidabili.

Informazioni su Sophos

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.