Aplicativo pré-instalado em celulares tenta assinar serviços e faz cliques sem autorização, alerta empresa
- Detalhes
- 16/01/19
Um aplicativo pré-instalado de fábrica em celulares da marca Alcatel vendidos no Brasil tenta contratar serviços em nome do usuário, mesmo sem autorização. O programa, que oferece previsão do tempo, ainda faz o download de propagandas para realizar cliques fantasmas – uma atividade que pode consumir até 250 MB de tráfego diário do plano do consumidor.
O caso foi descoberto pela Upstream Systems, uma empresa especializada em segurança que atua junto às operadoras de telefonia para filtrar solicitações como estas, que podem resultar em cobranças indevidas dos assinantes.
O aplicativo de previsão do tempo que realiza essa atividade vem pré-instalado em telefones Pixi 4 e A3 Max da Alcatel. Ele também estava disponível na Google Play Store, onde teve 10 milhões de downloads, mas foi removido após a denúncia.
No Brasil, a Upstream diz ter bloqueado 2,9 milhões de dois tipos de "tentativas de transações" de serviços digitais durante os meses de julho e agosto de 2018. Essas tentativas partiram de pelo menos 128.845 números de telefone diferentes.
No mundo todo, o número de transações chega a 27 milhões. Se não tivessem sido bloqueadas, elas teriam custado, em estimativa da Upstream, um total de US$ 1,5 milhão (cerca de R$ 5,5 milhões) aos consumidores.
A Alcatel é uma marca usada sob licença pela chinesa TCL. O pronunciamento da empresa sobre o caso apenas destaca as medidas de segurança tomadas e não comenta nenhuma das alegações feitas pela Upstream.
No entanto, a companhia diz que vai restringir o "acesso de terceiros" e procurar consultores de segurança para avaliar seus aplicativos (veja abaixo o comunicado na íntegra).
Clique-fantasma
O valor pago por anunciantes pela veiculação de suas peças publicitárias on-line é muitas vezes atrelado ao número de cliques recebidos. Isso encoraja sites e aplicativos a posicionarem os anúncios em locais mais proeminentes, por exemplo. Em outros casos, o anúncio é pago por comissão (pelo download de um aplicativo ou pela assinatura do serviço divulgado).
No entanto, há quem se aproveite disso para criar fraudes com cliques, downloads e até assinaturas falsas. Eles se cadastram em redes de publicidade e simulam acessos a anúncios supostamente veiculados em suas contas. Com isso, o golpista é pago por acessos e compras que nunca aconteceram.
Para que a fraude funcione, esses acessos precisam partir de computadores ou celulares verdadeiros. Do contrário, os sistemas de segurança das redes de publicidade e dos anunciantes podem facilmente detectar os cliques falsos e bloquear a conta antes do pagamento.
Segundo a Upstream, o aplicativo de previsão do tempo instalado pela TCL fazia exatamente isso. Nos bastidores, sem que o consumidor pudesse ver, o app baixava propagandas e acessava os endereços.
Além de consumir entre 50 e 250 MB diários – suficiente para encerrar a cota de certos planos -, os cliques falsos também levavam à assinatura de serviços digitais adicionais da conta de telefone (como planos Premium de serviços por SMS). O aplicativo automaticamente clicava em botões como "Assinar", simulando um aceite por parte do dono do aparelho, explica a Upstream.
Veja o comunicado da Alcatel (TCL):
A TCL Communication trabalha em estreita colaboração com todos os seus parceiros para garantir que seus clientes desfrutem de uma ótima experiência quando usam seus dispositivos móveis. Cada aplicativo de celular desenvolvido é enviado pelo VirusTotal, que inspeciona a transmissão de cada aplicativo com mais de 70 scanners antivírus diferentes, para garantir a entrega de uma experiência segura à loja Google Play, incluindo os aplicativos que têm parceiros terceirizados adicionais, aproveitando de seus SDKs. Cada aplicativo passa pelas verificações de segurança do Google antes de ser listado na loja Google Play.
Mesmo com todas essas proteções, a empresa entende a necessidade de permanecer vigilante com a segurança de seus clientes, e é por isso que está removendo o acesso de terceiros ao SDK de seus aplicativos para celular, com exceção do Google e de outros poucos parceiros globais confiáveis e certificados. Também avaliará novos consultores de segurança que possam fornecer certificação adicional da segurança dos aplicativos de celulares que ela desenvolve.
Fonte: G1
