Blend Color Puzzle, l'app spillasoldi che sottoscrive abbonamenti a insaputa dell'utente

Blend Color Puzzle, l'app spillasoldi che sottoscrive abbonamenti a insaputa dell'utente

G Data ci ha segnalato un interessante caso di sicurezza inerente il mondo mobile: un'app, ora rimossa dal Play Store, sottoscriveva abbonamenti a pagamento a insaputa dell'utente.

di Rosario Grasso pubblicata il , alle 20:01 nel canale Sicurezza
G Data
 

Molte app propongono agli utenti vari tipi di compiti non troppo gravosi al fine di ottenere vantaggi o l'opportunità di proseguire a usare l'app senza pagare. Solitamente si tratta di compiti semplici, che richiedono poco tempo, e che quindi l'utente è disposto ad affrontare senza pensarci due volte. Spesso questi compiti prevedono la visione di video pubblicitari che naturalmente incitano a scaricare altre app o altri giochi.

Il produttore della app legittima guadagna ovviamente soldi (provvigioni, introiti pubblicitari e similari) con questo metodo. Ogni azione condotta dagli utenti desiderosi di accedere "gratuitamente" consente quindi di ottenere profitti e solo in pochi si chiedono cosa effettivamente può succedere.

G Data, però, si è accorta che una delle app in questo modo promosse celava alcuni strumenti fraudolenti perché sottoscriveva automaticamente degli abbonamenti a pagamento senza che l'utente fosse in qualche modo avvertito. L'app in questione si chiamava Blend Color Puzzle, e si presentava come un clone della più famosa Blendoku, ed era promossa all'interno di una famosissima app di online dating ma anche da altri giochi e app.

L'app, che è stata rimossa tre giorni dopo l’avviso di G Data a Google, registrava a due mesi dalla pubblicazione circa 100 mila download, il che ha insospettito gli analisti dei G Data Security Labs, come si legge in questo dossier. Si trattava infatti di un numero stupefacente di download per quello che era il primo lavoro dell’azienda GHR Corp. Inoltre, su oltre 1000 valutazioni sul Play Store il 25% era negativo: nella maggior parte dei casi, infatti, la app aveva ricevuto meno di 3 stelle. Il primo commento negativo è stato registrato il 6 novembre 2015, solo tre giorni dopo la pubblicazione della app nello Store. Dopo questo avviso, é tutto un susseguirsi di valutazioni negative.

Gli analisti della famosa società che si occupa di sicurezza informatica sono stati inizialmente imbeccati da un utente, che per primo ha verificato il raggiro. Dopo l’avvio del gioco questo utente aveva ricevuto due SMS con la notifica di sottoscrizione a ben due abbonamenti del valore di € 4,99 alla settimana, senza alcuna precedente interazione.

In tutto la app di gioco mostrava un congruo numero di variabili e azioni dipendenti l’una dall’altra. Ad esempio, 60 secondi dopo aver tagliato la connessione al wifi domestico con passaggio dal wifi alla rete mobile, la app lanciava una cosiddetta Webview, quindi una pagina web, che però non viene mostrata all’utente. Le analisi dei G Data Security Labs evidenziano che questa era la connessione al server utilizzata per la trasmissione dei dati per la fatturazione tramite WAP-Billing dell’abbonamento mai sottoscritto. Tale attività è stata identificata dalle soluzioni di sicurezza G DATA e resa innocua.

Un caso che evidenzia come anche in ambito mobile il fattore sicurezza diventi sempre più cruciale. Le promozioni all'interno dei circuiti di scambio banner presenti nelle app, dunque, non sono sempre affidabili.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
obogsic02 Febbraio 2016, 23:13 #1
Io risolvo alla radice: sim dati dedicata e ricarica di mese in mese.
Si prendono una bella fava senza il mio consenso...
Certo non è comodo, ma piuttosto che mettermi a reclamare con qualche call center in lingua simil italica preferisco così...
SpyroTSK03 Febbraio 2016, 01:07 #2
Originariamente inviato da: obogsic
Io risolvo alla radice: sim dati dedicata e ricarica di mese in mese.
Si prendono una bella fava senza il mio consenso...
Certo non è comodo, ma piuttosto che mettermi a reclamare con qualche call center in lingua simil italica preferisco così...


Non cambierebbe nulla, le sim dati possono ricevere sms/mms, quindi truffabili pure quelle.

L'unico modo è richiedere al tuo operatore il blocco dei servizi premium (una volta si chiamava barring sms/mms per servizi a pagamento)
obogsic03 Febbraio 2016, 07:38 #3
però se non hai credito da succhiare (perché come dicevo ricarico mano a mano che mi servono i soldi per l'opzione) si attaccano al tram.
Il barring è una buona soluzione, ma ti blocca anche altri servizi a cui magari potresti essere interessato.
SpyroTSK03 Febbraio 2016, 08:52 #4
Originariamente inviato da: obogsic
però se non hai credito da succhiare (perché come dicevo ricarico mano a mano che mi servono i soldi per l'opzione) si attaccano al tram.
Il barring è una buona soluzione, ma ti blocca anche altri servizi a cui magari potresti essere interessato.


Si. Ma il problema è che se fai un abbonamento e non hai soldi appena li hai te li mangia.
obogsic03 Febbraio 2016, 08:55 #5
Sicuro sia così? Più di un operatore mi ha confermato che in caso di credito insufficiente, l'abbonamento non viene attivato.
Ed in effetti da quando ho sempre il minimo sulla sim non ho più avuto brutte sorprese.
SpyroTSK03 Febbraio 2016, 23:48 #6
Originariamente inviato da: obogsic
Sicuro sia così? Più di un operatore mi ha confermato che in caso di credito insufficiente, l'abbonamento non viene attivato.
Ed in effetti da quando ho sempre il minimo sulla sim non ho più avuto brutte sorprese.


Vale solo nel caso in cui lo devi attivare ora l'abbonamento, ma nel caso di un abbonamento antecedente al credito insufficiente, te lo cucchi la prossima ricarica.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^