La versión para Android de la popular aplicación de teclado ai.type ha intentado realizar más de 14 millones de transacciones no autorizadas que podrían haber costado a los usuarios US$18 millones, explica en un informe la empresa de tecnología móvil Upstream.
Los intentos de compra provienen de 110,000 dispositivos únicos a lo largo de 13 países. El tráfico fue principalmente alto en el norte de África y Sudamérica, y la actividad ilícita se disparó en julio de este año y continuó durante los siguientes dos meses. Esto fue en realidad después de que la aplicación fuera retirada de la tienda Google Play en junio.
La aplicación, que se ha descargado más de 40 millones de veces, promete personalizar el teclado con diferentes emojis y fuentes e incluye funcionalidades como aprender su estilo de escritura y corregir automáticamente errores. De hecho, puede que los lectores recuerden que la aplicación también llegó a los titulares de varios medios en 2017, cuando se supo que sus desarrolladores habían dejado expuestos los datos personales de más de 31 millones de usuarios en un servidor desprotegido.
Upstream ahora ha descubierto que una vez descargado en un teléfono, ai.type comienza a realizar, sin autorización, solicitudes de compra de contenido digital premium. La aplicación ha estado suscribiendo a los usuarios a servicios premium utilizando kits de desarrollo de software (SDK) con "enlaces hardcodeados ofuscados que llevan a rastreadores publicitarios".
"Estos SDK navegan a los anuncios a través de una serie de redirecciones y realizan clics automáticamente para activar las suscripciones", dijo Upstream. Todo esto ocurre en segundo plano, por lo que los usuarios no se dan cuenta. También toma la apariencia de otras aplicaciones populares como Soundcloud para llevar a cabo algunas de estas actividades.
Es posible que los usuarios hayan sido alertados a partir de la larga lista de permisos que solicitó la aplicación, incluido el acceso de lectura a mensajes de texto, fotos, videos, datos de contacto y también acceso al almacenamiento en el dispositivo. No hace falta decir que siempre debe tener cuidado con los tipos de permisos que otorga a las aplicaciones.
Se recomienda a los usuarios de la aplicación que comprueben en sus teléfonos cualquier indicio de comportamiento extraño y eliminen la aplicación. También debe verificar si es posible que le hayan cobrado por servicios que no ha solicitado.
Como señala Threatpost, la aplicación todavía está disponible en mercados alternativos de Android, así como en App Store, aunque se dice que Apple está investigando la funcionalidad de la aplicación ahora. Forbes escribe que en realidad hay una nueva versión de Ai.type en Google Play pero sin la misma funcionalidad maliciosa.
El engaño puede recordar a los lectores una estafa de suscripción que los investigadores de ESET descubrieron el año pasado y que se basó únicamente en la falta de atención del usuario.