Il gioco è stato caricato su Google Play e tentava di indurre gli utenti a iscriversi involontariamente a un abbonamento con pagamento settimanale.
Gli utenti Android dovrebbero porre molta attenzione a una curiosa tecnica di frode scoperta recentemente su Google Play – una truffa che mira direttamente ai loro soldi e che sfrutta unicamente la disattenzione dell’utente.
L’app analizzata che utilizzava questa tecnica era un gioco caricato con il nome “Pingu Cleans Up“, che faceva sottoscrivere agli utenti, senza il loro consenso, un abbonamento di € 5,49 a settimana per poi riscuotere le quote utilizzando il metodo di pagamento legittimo di Google Play. Il trucco funziona sul classico presupposto che molti utenti “fanno clic” su qualsiasi finestra dall’aspetto legittimo che impedisca loro di eseguire il gioco stesso, senza prestare molta attenzione al contenuto. L’obiettivo principale della truffa erano gli utenti che mantengono registrare le informazioni della carta di credito sul proprio account Google Play.
Figura 1 – Il gioco ingannevole scoperto su Google Play
Il gioco è stato caricato per la prima volta su Google Play l’8 febbraio 2018 ed è stato installato tra le 50.000 e 100.000 volte prima di essere rimosso dopo la segnalazione di ESET al team di Google. Osservando la valutazione e le recensioni del gioco, sembra che molti inizialmente abbiano lasciato commenti positivi, indipendentemente dal suo uso fuorviante del metodo di pagamento di Google Play; tuttavia prevalgono le valutazioni negative, come mostrato nella Figura 2.
Figura 2: valutazioni sull’app e recensioni negative degli utenti su Google Play
Come funziona la truffa?
Dopo essere stata eseguita, l’app consente agli utenti di specificare il proprio personaggio del gioco in tre passaggi. Nei primi due passaggi, per scegliere l’attributo desiderato, gli utenti devono toccare “conferma” su una finestra pop-up che appare in primo piano. Nella terza fase, gli utenti con i dettagli della carta di credito memorizzati vedranno una finestra simile alle precedenti, ma con il pulsante “conferma” sostituito da un pulsante “iscriviti”, come mostrato nella Figura 3.
Cliccando sul pulsante “iscriviti”, alle vittime verranno addebitati € 5,49 sulla carta collegata ai loro account. Il pagamento viene quindi ripetuto settimanalmente fino a quando l’utente non annulla la sottoscrizione direttamente dall’app.
Nota: le vittime di questa particolare truffa non dovranno più annullare questa sottoscrizione manualmente, poiché le iscrizioni sono state automaticamente cancellate con la rimozione dell’app da Google Play Store.
Figura 3 – I tre passaggi che tentano di indurre in errore gli utenti con i dettagli della carta memorizzati, portandoli al pagamento di un abbonamento
Agli utenti che non hanno una carta di credito collegata ai propri account verrà mostrata una finestra diversa nel terzo passaggio, dove si richiede loro di aggiungere un metodo di pagamento per completare l’acquisto (Figura 4). La necessità di una partecipazione attiva rende tali utenti meno inclini a cadere in questo tipo di truffa (che si basa principalmente sulla loro mancanza di cautela).
Figura 4 – Il terzo passaggio diverso visualizzato per gli utenti senza i dettagli della carta di credito memorizzati
Come stare al sicuro
Nel caso di “Pingu Cleans Up”, gli utenti potrebbero aver notato diversi indicatori anche prima che comparisse la finestra “subscribe”:
- “Termini d’uso” identici in tutte e tre le fasi mostrate in Figura 3
- L’immediata richiesta di pagamento dopo l’esecuzione, nonostante l’app sia elencata come gratuita su Google Play
Valutazione e recensioni negative su Google Play
Per non essere ingannati da truffe simili a questa, prestare sempre attenzione alle richieste inaspettate e rifletterci bene prima di soddisfarle. Prima di installare un’app, controllare attentamente le sue valutazioni e recensioni. Se si consente ai figli di installare e giocare sul dispositivo dei genitori, consigliamo di creare un account separato per questo scopo senza collegarvi una carta di credito.
Ultimo ma non meno importante, utilizzare una soluzione di sicurezza mobile affidabile per proteggere il dispositivo Android dalle ultime minacce.
IOC
Lascia un commento