Mudanças no Android não impediram onda de golpes com apps e assinaturas

Imagine pagar dezenas, às vezes centenas, de dólares por um aplicativo, apenas para ter um conjunto de wallpapers ou uma verificação de segurança no celular e, pior ainda, descobrir isso apenas quando a cobrança aparece na fatura do cartão de crédito. Esta é uma prática que vem se tornando comum nas fraudes usando aplicativos, muitos deles disponíveis na Play Store e capazes, até mesmo, de circundar recentes mudanças nas regras do Google para coibir, justamente, esse tipo de prática.

• Criminosos enganam internautas com domínios falsos da Netflix, Apple e outros
• 10% dos computadores com macOS foram atacados por adware em 2019
• 80% dos sites possuem pelo menos uma falha de segurança, afirma estudo

A fraude tem nome próprio e muito conveniente: fleeceware, uma referência, em inglês, à espessa camada de lã que circunda o corpo das ovelhas. Enquanto nos animais se trata de uma proteção contra o frio e ameaças, nos apps, estamos falando de uma barreira financeira que precisa ser ultrapassada para que o usuário tenha acesso aos recursos desejados. O problema é que, muitas vezes, ele nem mesmo sabe por que está realizando uma assinatura tão cara, tampouco por quanto tempo e, principalmente, leva funcionalidades que nem sempre entregam o que promete.

Os relatos sobre casos desse tipo aparecem em um relatório da Sophos, empresa especializada em segurança digital, que também revelou algumas das artimanhas usadas pelos fraudadores em apps que, no momento da análise dos especialistas, ainda estavam disponíveis na Play Store, mesmo indo contra novas regras firmadas pelo Google em junho. Em suas páginas, há registros de dezenas de milhares de downloads, que também podem constituir vítimas em potencial.

Uma das principais formas de atuação é chamada de “assinatura cega”, quando o usuário acredita estar aderindo a um teste gratuito da aplicação. Seguindo um protocolo padrão de serviços pagos, para usar o serviço sem pagar, é preciso inserir as informações de cartão de crédito e concordar que, após o prazo, a cobrança será feita automaticamente caso não seja cancelada. O problema é que o usuário não sabe muito bem o que está fazendo nem quanto tempo tem para degustação, com os golpistas usando outra tática proibida pelo Google: a ocultação de termos de uso ou dizeres importantes em meio a artes exibidas na tela.

Muitos dos apps analisados pela Sophos traziam letras miúdas ou com coloração cinza, de forma a se misturarem ao fundo ou terem a visualização dificultada em telas com configurações de brilho baixas. Foi dessa forma, por exemplo, que um software de edição de fotos chamado Montage exibiu para os usuários os detalhes de seu plano de monetização: eles tinham apenas três dias de gratuidade e, depois, seriam cobrados em US$ 89,99 (cerca de R$ 475) por semana de utilização.

Outro app, chamado Photo collage & Grid photo editor, também apresentou uma prática considerada irregular pelo Google e enganosa pela Sophos. Ao concordar com o teste nem tão gratuito assim, o usuário está assinando não apenas o software em si, mas também uma suíte de outras ferramentas de edição, manipulação de imagens e até testes de semelhança com celebridades. Pelo pacote, gasta-se US$ 200 por ano, cerca de R$ 1.050.

De acordo com Rafael Foster, especialista em cibersegurança da Sophos, o uso das aplicações traz riscos que vão além do ponto de vista financeiro, já grave o bastante. “Não podemos confiar em empresas que abusam de pagamentos altos e práticas ilegais como essas. Uma vez que o aplicativo esteja instalado no dispositivo, [o usuário pode ser enganado facilmente] para conceder mais permissões. Assim, os softwares podem obter dados, informações sigilosas ou até instalar um malware”, completa.

Novos termos, problema recorrente

Linguagem confusa e um bombardeio de imagens, termos e textos intencionalmente mal escritos também servem para levar os usuários a realizarem assinaturas sem saberem direito o que estão fazendo. O mesmo Montage, por exemplo, também oferece wallpapers dinâmicos por US$ 360 por mês, cerca de R$ 1.900, um total simplesmente abusivo e que se aproxima, inclusive, do teto máximo que pode ser cobrado por desenvolvedores de acordo com as regras do Google, US$ 400. A empresa, porém, não impõe limites quanto à periodicidade de assinaturas.

Outras regras, sejam elas existentes desde os primórdios da Play Store ou inseridas na atualização de abril, que tentou lidar com o problema dos fleecewares, também vêm sendo descumpridas ou circundadas pelos desenvolvedores. Entre os termos, estão a necessidade de transparência total quando à duração de uma assinatura e o preço, com termos claros e legíveis, além de descrições precisas sobre quais funcionalidades de um app exigem assinaturas e a necessidade de mecanismos fáceis para cancelamento, caso desejado.

Em comunicado enviado ao Canaltech, o Google afirmou que as mudanças foram aplicadas para incentivar a “implementação responsável de ferramentas e serviços de monetização”, de forma que sejam comunicadas com transparência ao usuário. As medidas entraram em vigor no dia 16 de junho, com o fim do prazo para adaptação pelos desenvolvedores, mas a empresa afirmou não ter informações sobre a efetiva adoção dos novos termos. Entretanto, deixou claro que, caso descumpram as normas, podem ver seus aplicativos sendo removidos e suas contas banidas da Play Store, com denúncias sobre irregularidades podendo ser feitas por qualquer pessoa.

O estudo da Sophos, publicado em meados de agosto, encontrou pelo menos 23 aplicativos que não estavam de acordo com as regras, mas seguiam disponíveis na loja online. Wallpapers, editores audiovisuais e softwares de limpeza ou segurança dos dispositivos aparecem com mais frequência, mas a lista dos especialistas também inclui radares e calculadoras para Pokémon GO, testes online ou apps com dicas de astrologia ou pegadinhas. No total, mais de US$ 4 milhões em renda teriam sido obtidos pelos desenvolvedores por meio das práticas abusivas.

Todas as fraudes envolvem softwares em inglês, sem nenhum tipo de campanha de fleeceware direcionada ao Brasil ou outros países específicos. Foster, porém, ressalta que é possível encontrar conterrâneos entre os comentários dos aplicativos irregulares, com muitos usuários alegando terem sido lesados pelas condições de pagamento ou pela “falsa ilusão do funcionamento” deles.

Aos usuários lesados, a indicação do especialista é que peçam o reembolso das cobranças indevidas em um prazo de até 120 dias, o limite do Google para solicitações desse tipo. Segundo ele, a empresa realiza essa devolução mesmo que o pagamento ao desenvolvedor já tenha sido feito, algo que acontece a cada 30 ou 60 dias. Vale a pena, ainda, denunciar as irregularidades por meio da própria Play Store e, também, às empresas de segurança, para que os softwares fraudulentos entrem no radar e possam ser identificados para posterior remoção ou indicação por ferramentas de proteção digital.

Estas, inclusive, também podem ajudar na proteção do dispositivo pelo usuário. Foster também pede que os usuários prestem atenção nos aplicativos que baixam, analisando os responsáveis e também os comentários em busca de indícios de problemas. Em caso de suspeita, o ideal é não efetuar a instalação, optando por soluções de empresas confiáveis e reconhecidas, baixadas a partir de lojas oficiais — e não de fontes suspeitas.

Fonte: Sophos