Le app per smartphone non sono soltanto, spesso, veicolo di malware o pubblicità sgradita, ma anche veicolo di truffe: pur senza infettare i dispositivi su cui vengono installate, possono fare guadagni illeciti ai danni dell’ingenuo utente. Capita anche sul Google Play Store, un marketplace “ufficiale” e dunque più sicuro di molti altri, ma non al 100%. I ricercatori di Sophos hanno scoperto e segnalato a Google la presenza di un numerose applicazioni create con l’unico scopo di far soldi in modo truffaldino, sfruttando un meccanismo ben noto agli utenti: quello delle app che possono essere installate e provate gratuitamente per un periodo di test, per poi eventualmente acquistare la versione completa.
Normalmente, le app che propongono un periodo di prova gratuita (di qualche giorno) non addebitano costi a meno che l’utente non compri la versione premium, mentre le app scoperte da Sophos lo fanno. Per evitare addebiti sarebbe necessario indicare esplicitamente di volersi cancellare dal periodo di prova, ma molti utenti di dimenticano di farlo o credono che disinstallare l'app equivalga alla cancellarsi. Invece è necessario sia revocare la registrazione sia rimuovere l’app dal dispositivo.
Un’altra differenza sta negli importi. Le applicazioni legittime solitamente costano pochi euro, mentre queste sono decisamente esose: un'applicazione di lettura di codici QR, tra quelle osservate, addebita 104,99 euro dopo 72 ore dall’installazione; un’altra, chiamata Professional GIF Maker, si prende 214,99 euro al termine della prova. Prezzi folli, che hanno suggerito ai ricercatori di battezzare questo genere di app come fleeceware (fleece significa “spennare”). “Queste applicazioni sono, fondamentalmente, semplici”, spiegano da Sophos. “Abbiamo osservato strumenti come lettori di QR o lettori di codici a barre, calcolatrici, strumenti per creare GIF animate, editor di foto”.
Sophos ha contattato i responsabili del Google Play Store per capire se le fleeceware violino le policy della piattaforma, ma non ha ricevuto risposte da Mountain View. In compenso, Google ha rimosso dal marketplace 14 delle 15 app segnalate. Peccato che un’analisi più approfondita abbia poi fatto scoprire un altro gruppo di applicazioni simili, con un numero di download ancora più elevato rispetto al primo, tuttora disponibili sul Play Store.
In sostanza, le applicazioni fleeceware si approfittano di una lacuna delle policy del Play Store per rastrellare soldi. “Google dovrebbe a nostro avviso dedicare particolare attenzione a questa problematica”, ammoniscono i ricercatori, “in quanto al momento le policy predefinite non proibiscono esplicitamente agli sviluppatori di app di trarre vantaggio da questa lacuna del regolamento. Non sempre gli utenti hanno la possibilità di chiedere il rimborso dopo pochi giorni. Se un utente non sta monitorando costantemente la propria carta di credito, potrebbe non accorgersi della truffa in tempo utile per chiedere un rimborso”.