A versão para Android do popular aplicativo de teclado ai.type tentou fazer mais de 14 milhões de transações sem qualquer permissão do usuário, que poderiam ter custado US$ 18 milhões, explica a Upstream, empresa inglesa especializada em tecnologia móvel, por meio de um relatório.
As tentativas de compra ocorreram em 110.000 dispositivos únicos em 13 países. O tráfego foi bastante alto no norte da África e na América do Sul, inclusive no Brasil, com um disparo exponencial na atividade ilícita em julho deste ano, continuando nos dois meses seguintes. Curiosamente, isso ocorreu depois que o aplicativo foi retirado do Google Play em junho.
O aplicativo, que já foi baixado mais de 40 milhões de vezes, promete personalizar o teclado com diferentes emojis e fontes e inclui recursos como aprender o estilo de digitação e corrigir erros automaticamente. O aplicativo também foi notícia em 2017, quando foi revelado que seus desenvolvedores tinham exposto os dados pessoais de mais de 31 milhões de usuários em um servidor desprotegido.
A Upstream descobriu agora que o ai.type, uma vez baixado em um smartphone, faz pedidos de compra (sem autorização) de conteúdo digital premium. O aplicativo realiza a assinatura de usuários em serviços premium usando kits de desenvolvimento de software (SDKs) com "links hardcodeados ofuscados que levam a rastreadores de publicidade".
"Esses SDKs levam as vítimas aos anúncios através de uma série de redirecionamentos e automaticamente realizam cliques para ativar as assinaturas", destacou a Upstream. Como tudo isso ocorre em segundo plano, os usuários não se dão conta das ações realizadas. Os SDKs também assumem a forma de outros aplicativos populares, como o Soundcloud, para fazer algumas dessas atividades.
Os usuários podem ter sido avisados através da longa lista de permissões que o aplicativo solicita, incluindo acesso de leitura a mensagens de texto, fotos, vídeos, dados de contato e também acesso ao armazenamento no dispositivo. Por isso, é fundamental estar atento aos tipos de permissões concedidas aos aplicativos.
Os usuários do app que notarem qualquer sinal de comportamento estranho devem removê-lo de seu smartphone. Além disso, também é importante observar qualquer cobrança por serviços não assinados.
Como o portal Threatpost destaca, o aplicativo ainda está disponível em mercados alternativos ao Android, bem como na App Store, embora a Apple esteja atualmente investigando a funcionalidade do aplicativo. A Forbes revela que há realmente uma nova versão do Ai.type no Google Play, mas sem a mesma funcionalidade maliciosa.
Esse golpe nos faz lembrar de uma fraude de assinatura de serviços que os pesquisadores da ESET descobriram no ano passado e que foi baseada apenas na falta de atenção dos usuários.