Google da tempo promuove la sicurezza del suo store applicativo attraverso la feature Play Protect che, introdotta con Android Oreo, fa anche da antivirus locale, rimuovendo le app già installate e scoperte come malevoli: il problema è che – con più di 2.6 miliardi di app presenti nello store – è ben difficile scovare tempestivamente tutte le violazioni perpetrate. Capita, quindi, sempre più spesso che, ad accorgersene, siano società terze, come accaduto nel caso di una recente frode pubblicitaria, ambientata proprio nel Play Store di Android.
Qualche giorno fa, la società di analisi Kochava, specialista nel valutare le prestazioni dell’advertising online per le app, si è accorta che 8 applicazioni cinesi si attribuivano surrettiziamente le commissioni, per l’installazione delle app, che sarebbero spettate a loro concorrenti.
Nello specifico, ad essere coinvolte, sarebbero 7 applicazioni notissime di Cheetah Mobile (Clean Master, integrato da Samsung nella sua interfaccia quale modulo di ottimizzazione, CM Launcher 3D scelto da Microsoft per supportare Cortana, CM File Manager, Cheetah Keyboard, Battery Doctor, Security Master, CM Locker) ed una dell’affiliata Kika Tech (la tastiera con intelligenza artificiale Kika Keyboard), che – pur contando su una base di 700 milioni di utenti attivi – sono state, in realtà, scaricate complessivamente 2 miliardi di volte.
Il modus operandi della truffa rinvenuta da Kochava è ingegnoso: le app installate, sfruttando le tante autorizzazioni richiesta ma, soprattutto, una falla nella API Referrer (che permette di attribuire il merito dell’installazione di un’app), si arrogavano la responsabilità dell’aver indotto un utente a installare questa o quell’app, con la conseguenza che finivano per incassare, al posto dei veri beneficiari, le commissioni che i programmatori, nell’ordine di 0.50 cent / 3 dollari, sono soliti riconoscere per queste forme di “endorsement” portate avanti tramite le pubblicità visualizzate nelle app gratuite.
Interpellate da BuzzFeed, alcuni portavoci di Cheetah Mobile hanno scaricato la colpa di simili episodi a librerie di terze parti (nonostante, nelle app aziendali, inseriscano solo librerie proprietarie), mentre Kika Tech ha promesso d’aver avviato un’indagine interna per far luce sulla vicenda che, però, presto potrebbe portare al ban di tali app dal Play Store.
Nel frattempo, gli utenti che non volessero incorrere in qualche inconveniente (numero di telefono inserito in database, vendita di dati personali, aumento della pubblicità, etc), dovrebbero cautelarsi disinstallando (o, se impossibile, disattivando), le app incriminate.