Um popular aplicativo de teclado para o Android, o ai.type, foi pego fazendo milhões de compras não autorizadas de conteúdo digital premium. Com mais de 40 milhões de downloads, o aplicativo estava até recentemente disponível no Google Play, e ainda pode ser encontrado em outras lojas de apps.
O malware fornece milhões de visualizações e cliques falsos em anúncios invisíveis, além de fornecer dados sobre visualizações, cliques e compras reais feitas por seus usuários para redes de anúncios. O ai.type realiza algumas de suas atividades ocultas sob outras identidades, o que inclui a capacidade de se disfarçar de aplicativos populares como o Soundcloud.
O alerta foi emitido pela Upstream, empresa inglesa especializada em tecnologia móvel. Até agora a plataforma de segurança da empresa, a Upstream Secure-D, detectou e bloqueou mais de 14 milhões de solicitações de transações suspeitas de vindas de 110.000 dispositivos únicos que baixaram o teclado ai.type.
Se não bloqueadas, essas solicitações de transação teriam desencadeado a compra de serviços digitais premium, potencialmente custando aos usuários até US $ 18 milhões em cobranças indesejadas. A atividade suspeita foi registrada em 13 países, mas foi particularmente alta no Egito e no Brasil.
O ai.type é um aplicativo de teclado personalizável desenvolvido pela empresa israelense ai.type LTD, que o descreve como um “Teclado Emoji Grátis”. Apesar de o aplicativo ter sido removido do Google Play em junho de 2019, ele permanece instalado em milhões de dispositivos Android e ainda está disponível em outras lojas.
Logo após a remoção do app do Google Play as atividades suspeitas dispararam exponencialmente por um período de dois meses. Desde então o volume de transações permaneceu alto, embora menor do que durante o pico registrado em meados deste ano.
Dimitris Maniatis, Chefe do Secure-D na Upstream, explica mais sobre como o aplicativo engana os usuários: “O ai.type contém links pré-definidos para anúncios e inscreve os usuários em serviços premium sem o seu consentimento. Ele navega até os anúncios por meio de uma série de redirecionamentos e realiza cliques automaticamente para acionar as assinaturas. Isso é confirmado em segundo plano para que os usuários normais não percebam que está ocorrendo”.
“Além disso, os links relevantes são ofuscados e código adicional de fontes externas é baixado para complicar a detecção, mesmo a partir de técnicas sofisticadas de análise. Conclusão: usuários inocentes estão pagando por essas compras não autorizadas e pelo consumo de dados relacionados cuja fonte está oculta no aplicativo. ”
A recomendação aos usuários do ai.type é que desinstalem o aplicativo, e verifiquem suas contas telefônicas e faturas de cartão de crédito em busca de cobranças não reconhecidas. Um aumento súbito no uso de dados é um possível indicador de que um aplicativo mal-intencionado está consumindo dados em segundo plano.
Fonte: Upstream Systems