App Android a pagamento promettono cronologie di chiamate per qualsiasi numero, ma i dati forniti sono falsi.
Autore: Redazione SecurityOpenLab
I ricercatori di ESET Research hanno scoperto su Google Play 28 app truffa scaricate oltre 7,3 milioni di volte, che promettono di fornire - a pagamento - la cronologia delle chiamate, gli SMS e i log WhatsApp di qualsiasi numero di telefono. La promessa è tecnicamente impossibile da mantenere, infatti i "dati" restituiti alle vittime sono completamente inventati, generati casualmente dall'app stessa. La famiglia di applicazioni, denominata CallPhantom, è stata segnalata a Google e rimossa dallo store prima della pubblicazione del report.
Le app CallPhantom hanno come target principale gli utenti Android nell'area Asia-Pacifico e hanno prezzi che variano considerevolmente da un'app all'altra, con piani settimanali, mensili e annuali. Il prezzo medio per il piano più economico è di 5 euro, ma alcune costano fino a 80 dollari.
Sventata la truffa, in molti casi è stato difficile recuperare il denaro per via della struttura dei pagamenti. Per le app che si appoggiavano al sistema di fatturazione ufficiale di Google Play, la semplice rimozione dell’app ha portato all’annullamento degli abbonamenti attivi e all’erogazione dei rimborsi, in linea con le policy di Google. Tuttavia, ESET ha identificato altri due metodi di pagamento che violano esplicitamente le policy di pagamento di Google Play. In sostanza, le app integravano direttamente moduli di pagamento con carta di credito o si affidavano a processori di pagamento di terze parti: in questi casi Google non ha potuto intervenire e le vittime hanno dovuto rivolgersi direttamente al gestore della carta dic redito per tentare di recuperare il denaro versato.
Un dettaglio che dovrebbe insospettire le vittime è che le app CallPhantom non richiedono alcuna autorizzazione relativa a dati sensibili. Il motivo è banalmente che non ne hanno bisogno, perché i dati a cui fanno riferimento le app in questione non sono accessibili tramite le API Android standard e non transitano su infrastrutture a cui un'app esterna possa connettersi. La truffa, quindi, non consiste in una funzionalità degradata o limitata, ma nell’assenza di una qualsiasi funzionalità.
Perché le vittime hanno abboccato? Perché le app di questa categoria fanno presa su motivazioni difficili da ammettere apertamente, come per esempio la volontà di sorvegliare di nascosto partner, familiari o contatti sospetti. La promessa di poter controllare le chiamate di "qualsiasi numero" intercetta quindi una domanda che esiste e che di fatto le piattaforme legittime non soddisfano. E chi ha attuato l’inganno contava sul fatto che molte vittime non volessero segnalare l'accaduto per tenere nascosti i propri intenti.