Oito aplicativos para Android estariam utilizando as permissões de usuários como parte de um esquema de fraude que pode ter roubado milhões de dólares. A tática foi desmascarada pela empresa de análise e atribuição de aplicativos Kochava, que compartilhou a descoberta com o site norte-americano Buzzfeed News.
De acordo com a companhia, juntos, os apps somam dois bilhões de downloads na Google Play. Sete deles pertencem à fabricante chinesa Cheetah Mobile, incluindo a popular ferramenta de otimização e limpeza de espaço Clean Master, que reúne mais de um milhão de usuários. O outro programa envolvido seria da conterrânea Kika Tech, que teria recebido grande investimento da Cheetah em 2016.
Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo
O golpe não afeta os usuários, mas outras companhias de aplicativos, que participam de uma estratégia legal para angariar novos usuários. Desse modo, desenvolvedores pagam uma “recompensa” de US$ 0,50 (cerca de R$ 1,93) a US$ 3 (aproximadamente R$ 11,61) para apps parceiros que ajudam a impulsionar novas instalações de seus apps. A Kochava averiguou que a Cheetah Mobile e a Kika Tech rastreavam quando usuários de seus softwares baixavam outros programas na loja do Google e reivindicavam o crédito pelo download, de forma indevida. A prática ilegal é chamada de flood e injeção de cliques.
“Isso é roubo - não há outra maneira de dizê-lo", disse Grant Simmons, chefe de análise de clientes da Kochava, ao BuzzFeed News. "Estas são empresas reais fazendo isso - em escala - não uma pessoa aleatória em seu porão", ressaltou sobre a gravidade do episódio. Simmons afirma ter visto essa conduta em outros apps geridos por empresas chinesas e acredita que seja uma espécie de tática de negócios.
Apps envolvidos
Alguns dos apps da Cheetah envolvidos na denúncia figuram entre os aplicativos de produtividade mais populares da Google Play. “Apenas nos últimos 30 dias, esses aplicativos foram baixados mais de 20 milhões de vezes, de acordo com dados do serviço de análise AppBrain”, informa o Buzzfeed News. Já o Kika Keyboard é a aplicação de teclado mais popular da loja e afirma ter 60 milhões de downloads por mês.
De acordo com o CTO da empresa de investigação de fraude de anúncios Method Media Intelligence, Praneet Sharma, os programas afetados exigem uma ampla gama de permissões dos usuários, que incluem, até mesmo, a capacidade de acompanhar as teclas digitadas ou saber quando outros apps são baixados. Para Sharma, o Google e outras empresas que operam lojas do gênero não deveriam aceitas programas que solicitam alto nível de permissões.
O que as empresas dizem
Procurados pelo Buzzfeed, os representantes da Kika Tech demonstraram surpresa ao saberem que o app Kika Keyboard estaria envolvido em práticas de injeção de cliques. De acordo com uma declaração do CEO da companhia, Bill Hu, ao site, essas atividades teriam acontecido sem conhecimento da empresa.
“Neste momento, a Kika está pesquisando extensivamente as questões críticas que vocês levantaram internamente. Se, de fato, o código tiver sido colocado dentro de nosso produto, faremos de tudo para retificar rapidamente e totalmente a situação e tomar medidas contra os envolvidos”, disse ele. "Por enquanto, não temos mais comentários até começarmos nossa pesquisa interna". Apesar da alegações, a Kochava e Method Media Intelligence, em uma análise adicional para o Buzzfeed, verificaram que a aplicação de teclado para Android realizava o processo de flooding e injeção por meio de funções criadas diretamente no aplicativo.
Também procurada pela página norte-americana, a Cheetah Mobile disse acreditar que kits de desenvolvimento de software de terceiros, os SDKs, integrados em seus aplicativos, seriam os responsáveis pela i
“Trabalhamos com muitas plataformas de anúncios tradicionais por meio da integração do SDK. (...) As plataformas de anúncios e as partes independentes de arbitragem trabalham juntas para decidir a atribuição de instalações de aplicativos, e não fazemos parte desse processo. Continuamos examinando o assunto e o atualizaremos se tivermos mais informações", disse um porta-voz da empresa por meio de comunicado.
Entretanto, de acordo com a Kochava, o SDK envolvido na atividade fraudulenta é desenvolvido e de propriedade da Cheeta e não de terceiros. Segundo o Buzzfeed, após a denúncia, a Cheetah Mobile removeu os apps CM Locker e Battery Doctor da Google Play. Em comunicado, informou que o primeiro já foi relançado e o segundo será em breve, sem deixar claro quando.
Via Buzzfeed
Quais são os melhores aplicativos para Android? Comente no Fórum do TechTudo
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- PS5: atualização permitirá salvar jogos em HD externo e mais novidades
- Apps com figurinhas de WhatsApp para iPhone são removidos da App Store
- Xiaomi inventa celular com tela deslizante na traseira
- O que é alcance no Instagram? Saiba conferir a métrica da rede social
- Pokémon Go terá mais monstrinhos de pedra em evento do game
- Testamos o Marshall London Phone: celular traz som com estilo à IFA 2015
- Novo método de transmissão pode deixar Internet Wi-Fi muito mais rápida
- TP-Link anuncia roteadores para Wi-Fi 6 com velocidades até 11 mil Mb/s
- Nova luz inteligente Philips Hue Go promete funcionar em 'qualquer lugar'
- Como destravar o Chromebook com um PIN
- Confira a lista de códigos de cheats para LEGO Harry Potter Anos 1-4
- NBA 2K16 e Gone Home serão games gratuitos da PS Plus em junho
- Como saber o número do título de eleitor? Veja as funções do e-Título
- WhatsApp ganha função de fixar chats mais importantes
- The Witcher 3: bug impede jogadores de ganhar XP em algumas missões
- Battlefield 4: Naval Strike fica gratuito; saiba com fazer o download
- Aprenda a usar o equalizador do Spotify no celular
- InstaPic é o Instagram para PC que posta fotos usando o Windows 10
- Como instalar fontes no Ubuntu
- Como atender ligações apenas no modo viva-voz do iPhone?