Sono state battezzate fleeceware quelle applicazioni che una volta installate cercano di acquisire la fiducia degli utenti proponendo periodi di prova più o meno lunghi ma, allo stesso tempo, inducendo all’inserimento di un metodo di pagamento.
Il verbo fleece significa “spennare” in inglese perché dopo un certo periodo di tempo queste stesse app provvedono ad applicare automaticamente addebiti più o meno consistenti.
Sophos parlò del problema ad aprile 2020 (Sophos lancia l’allarme app fleeceware su iOS: addebiti indesiderati per gli utenti) e adesso è Avast a proseguire le indagini affermando di aver scoperto oltre 200 applicazioni pubblicate sul Google Play Store e sull’App Store di Apple appositamente progettate per sottrarre denaro agli utenti che le installano.
La lista completa dei fleeceware scovati da Avast è consultabile qui nel caso del Play Store e in questa pagina per quanto riguarda l’App Store.
Stando ai dati condivisi da Avast le applicazioni in questione hanno raccolto qualcosa come 400 milioni di dollari attingendo direttamente ai portafogli dei malcapitati. Alcuni utenti si sono addirittura visti addebitare importi pari quasi a 3.000 euro.
Considerata la tipologia di applicazioni (applicazione di filtri per le foto, editor di immagini, simulatori di strumenti musicali, lettori di PDF e codici QR, oroscopi e lettura della mano,…) tante vittime sono di più giovane età non facendosi scrupoli a inserire i dati di pagamento dei genitori. Gli sviluppatori di fleeceware sono infatti soliti pubblicare inserzioni sui social network e su altre piattaforme ampiamente utilizzate da un pubblico giovanile. I download vengono furbescamente presentati come “gratuiti” o “free”.
Sia Android che iOS consentono di attivare la protezione contro i pagamenti indesiderati: è ad esempio possibile usare il riconoscimento dell’impronta digitale per autorizzare un pagamento istantaneo o programmato (che verrà quindi effettuato successivamente).
Come difendersi dalle applicazioni fleeceware
Alcuni utenti ritengono che disinstallando un’app non si incorra in nessun addebito, neppure alla fine del periodo di prova. Questo non corrisponde assolutamente al vero ed è possibile ricevere addebiti anche dopo la disinstallazione di un’app: è così che funziona il meccanismo di sottoscrizione di abbonamenti digitali.
Nel caso del Play Store di Google è sempre bene tenere sotto controllo la pagina I miei abbonamenti e cessare qualunque sottoscrizione che si prevede di non usare prima della fine del periodo di prova gratuito.
Per difendersi dai fleeceware non basta limitarsi a leggere le recensioni lasciate dagli altri utenti perché spesso l’applicazione viene commentata da gruppi di persone vicine agli sviluppatori che pubblicano opinioni positive così da depistare coloro che ad esempio non dovessero ordinare le recensioni dalla più recente.
Prima di installare una nuova app è bene verificare attentamente i permessi che richiede e controllare se sia presente la frase Acquisti in-app. Ciò significa che molte delle funzionalità offerte potrebbero non essere accessibili gratis. In questi casi è sempre bene elevare il livello di attenzione.
Come accennato in precedenza è inoltre bene proteggere i metodi di pagamento e gli acquisti online con l’attivazione del riconoscimento biometrico.
L’analisi completa pubblicata dai tecnici di Avast è consultabile a questo indirizzo.