Oito aplicativos para Android estariam utilizando as permissões de usuários como parte de um esquema de fraude que pode ter roubado milhões de dólares. A tática foi desmascarada pela empresa de análise e atribuição de aplicativos Kochava, que compartilhou a descoberta com o site norte-americano Buzzfeed News.
De acordo com a companhia, juntos, os apps somam dois bilhões de downloads na Google Play. Sete deles pertencem à fabricante chinesa Cheetah Mobile, incluindo a popular ferramenta de otimização e limpeza de espaço Clean Master, que reúne mais de um milhão de usuários. O outro programa envolvido seria da conterrânea Kika Tech, que teria recebido grande investimento da Cheetah em 2016.
Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo
O golpe não afeta os usuários, mas outras companhias de aplicativos, que participam de uma estratégia legal para angariar novos usuários. Desse modo, desenvolvedores pagam uma “recompensa” de US$ 0,50 (cerca de R$ 1,93) a US$ 3 (aproximadamente R$ 11,61) para apps parceiros que ajudam a impulsionar novas instalações de seus apps. A Kochava averiguou que a Cheetah Mobile e a Kika Tech rastreavam quando usuários de seus softwares baixavam outros programas na loja do Google e reivindicavam o crédito pelo download, de forma indevida. A prática ilegal é chamada de flood e injeção de cliques.
“Isso é roubo - não há outra maneira de dizê-lo", disse Grant Simmons, chefe de análise de clientes da Kochava, ao BuzzFeed News. "Estas são empresas reais fazendo isso - em escala - não uma pessoa aleatória em seu porão", ressaltou sobre a gravidade do episódio. Simmons afirma ter visto essa conduta em outros apps geridos por empresas chinesas e acredita que seja uma espécie de tática de negócios.
Apps envolvidos
Alguns dos apps da Cheetah envolvidos na denúncia figuram entre os aplicativos de produtividade mais populares da Google Play. “Apenas nos últimos 30 dias, esses aplicativos foram baixados mais de 20 milhões de vezes, de acordo com dados do serviço de análise AppBrain”, informa o Buzzfeed News. Já o Kika Keyboard é a aplicação de teclado mais popular da loja e afirma ter 60 milhões de downloads por mês.
De acordo com o CTO da empresa de investigação de fraude de anúncios Method Media Intelligence, Praneet Sharma, os programas afetados exigem uma ampla gama de permissões dos usuários, que incluem, até mesmo, a capacidade de acompanhar as teclas digitadas ou saber quando outros apps são baixados. Para Sharma, o Google e outras empresas que operam lojas do gênero não deveriam aceitas programas que solicitam alto nível de permissões.
O que as empresas dizem
Procurados pelo Buzzfeed, os representantes da Kika Tech demonstraram surpresa ao saberem que o app Kika Keyboard estaria envolvido em práticas de injeção de cliques. De acordo com uma declaração do CEO da companhia, Bill Hu, ao site, essas atividades teriam acontecido sem conhecimento da empresa.
“Neste momento, a Kika está pesquisando extensivamente as questões críticas que vocês levantaram internamente. Se, de fato, o código tiver sido colocado dentro de nosso produto, faremos de tudo para retificar rapidamente e totalmente a situação e tomar medidas contra os envolvidos”, disse ele. "Por enquanto, não temos mais comentários até começarmos nossa pesquisa interna". Apesar da alegações, a Kochava e Method Media Intelligence, em uma análise adicional para o Buzzfeed, verificaram que a aplicação de teclado para Android realizava o processo de flooding e injeção por meio de funções criadas diretamente no aplicativo.
Também procurada pela página norte-americana, a Cheetah Mobile disse acreditar que kits de desenvolvimento de software de terceiros, os SDKs, integrados em seus aplicativos, seriam os responsáveis pela i
“Trabalhamos com muitas plataformas de anúncios tradicionais por meio da integração do SDK. (...) As plataformas de anúncios e as partes independentes de arbitragem trabalham juntas para decidir a atribuição de instalações de aplicativos, e não fazemos parte desse processo. Continuamos examinando o assunto e o atualizaremos se tivermos mais informações", disse um porta-voz da empresa por meio de comunicado.
Entretanto, de acordo com a Kochava, o SDK envolvido na atividade fraudulenta é desenvolvido e de propriedade da Cheeta e não de terceiros. Segundo o Buzzfeed, após a denúncia, a Cheetah Mobile removeu os apps CM Locker e Battery Doctor da Google Play. Em comunicado, informou que o primeiro já foi relançado e o segundo será em breve, sem deixar claro quando.
Via Buzzfeed
Quais são os melhores aplicativos para Android? Comente no Fórum do TechTudo
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Unicode 11: conheça os 67 novos candidatos a emoji para o ano 2018
- LGPD entra em vigor para regulamentar coleta de dados pessoais no Brasil
- Galaxy J5 Prime e Moto G5S são os celulares mais buscados de 2018
- Hearthstone libera expansão 'Goblins vs. Gnomos' e ganha novas cartas
- Como fazer o download da demo gratuita do jogo Resident Evil 7
- Free Fire ganha torneio do modo Contra Squad; Brasil está na briga
- Cinco editores de texto online grátis
- Ori and the Will of the Wisps e Sekiro estão mais baratos esta semana
- YouTube Spaces ganha nova sede no Rio de Janeiro
- Veja como adicionar legendas em fotos do iPhone ou iPad
- Chefão diz que Apple tem “menores preços possíveis” e cita iPhone 11
- Pentium G4520 ou AMD FX 6300: veja qual CPU é melhor para você
- Lista reúne notebooks com i5 com melhor custo-benefício; confira
- Como instalar o Arrow, novo launcher da Microsoft para Android?
- FBI força suspeito de crime a desbloquear iPhone X com Face ID
- Veja como usar o 6tag, cliente completo do Instagram para Windows Phone
- H1Z1 Battle Royale: entenda ranking do jogo
- Apple retirou Telegram da App Store por proliferação de pedofilia
- Lista revela quais cidades possuem mais dispositivos vítimas de botnet
- Como ativar legendas em vídeos do IGTV no Instagram