L'ANALISI TECNICA

UltimaSMS, la truffa SMS premium diffusa sul Google Play Store: come difendersi

È stata denominata UltimaSMS la nuova truffa su scala globale che, sfruttando centinaia di app Android disponibili sul Play Store, usa gli SMS per sottoscrivere le ignare vittime a servizi di abbonamento premium. Ecco tutti i dettagli e i consigli per difendersi

27 Ott 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

È in corso una campagna globale, denominata UltimaSMS, che tramite 152 app Android con 10,5 milioni di download sarebbe stata utilizzata da uno o più attori criminali per abbonare gli utenti, inconsapevolmente, a servizi di abbonamento premium.

Secondo l’analisi dei ricercatori Avast che hanno identificato le attività malevoli, poiché i primi campioni sarebbero già stati tracciati nello scorso maggio, le nuove evidenze rilevate a ottobre (sarebbero state segnalate 82 app trovate sul Play Store di Google) porterebbero a pensare inconfondibilmente che la truffa sarebbe ancora in evoluzione.

UltimaSMS: la campagna globale

Secondo gli approfondimenti di Sensor Tower, un fornitore di market intelligence e approfondimenti sulla app economy globale, le app sarebbero state scaricate da utenti di oltre 80 Paesi e questo confermerebbe l’ipotesi su una diffusione globale della campagna UltimaSMS.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

Tra i primi dieci Paesi più colpiti dalla campagna figurano Egitto, Arabia Saudita, Pakistan ed Emirati Arabi Uniti, con oltre un milione di download. Chiudono la lista Stati Uniti e Polonia con ben 170.000 vittime.

Le tipologie di app scoperte

In particolare, le app false scoperte apparterrebbero ad una vasta gamma di categorie come scanner per codici QR, editor di video e foto, blocchi per spam, filtri per fotocamere e giochi e presenterebbero tutte una stessa struttura di base riproposta numerose volte allo scopo di mascherarle come applicazioni autentiche attraverso profili ben allestiti sul Play Store.

Tuttavia, a un esame più attento, tali profili presentano dichiarazioni sulla privacy e contatti generici oltre che numerose recensioni negative da parte di chi avrebbe identificato la truffa.

È possibile consultare l’elenco completo delle applicazioni rilevate sulla piattaforma GitHub.

UltimaSMS: come avviene la truffa

Quando un utente installa una di queste applicazioni, l’app controllerebbe la sua posizione, l’IMEI e il numero di telefono per determinare il prefisso e lingua del paese da utilizzare per l’inganno.

Successivamente una volta che l’utente apre l’app, una schermata, personalizzata nella lingua in cui è impostato il dispositivo, richiederebbe di inserire come informazioni bloccanti per il corretto utilizzo del presunto servizio offerto un numero di telefono valido e, talvolta anche un indirizzo e-mail.

In realtà, dopo aver inserito i dettagli richiesti, l’utente verrebbe iscritto a dei servizi SMS premium con addebiti fino a $ 40/mese a seconda del paese e del proprio operatore di telefonia mobile.

Alcuni dei tanti prompt di apertura delle app oltre che differire in base alla localizzazione potrebbero non includere chiaramente gli avvisi relativi ai potenziali addebiti.

Conclusioni

Dall’analisi Avast risulta inoltre che la campagna UltimaSMS sia stata propagata attraverso canali pubblicitari su popolari siti di social media come Facebook, Instagram e TikTok, con numerosi annunci video accattivanti.

Sebbene la maggior parte di queste app non offra le funzionalità pubblicizzate e nonostante le numerose recensioni negative ricevute sul Play Store e le azioni di rimozione da parte di Google, gli attori criminali responsabili della truffa sono riusciti a mantenere comunque un costante afflusso di vittime preservando la loro presenza sullo store, probabilmente accumulando anche milioni di dollari dai guadagni fraudolenti.

Anche se gli utenti interessati possono eliminare le app disinstallandole, gli addebiti SMS purtroppo continueranno.

Per evitare future truffe di questo genere, restano come consigli utili quelli di

  1. contattare il proprio operatore telefonico chiedendo esplicitamente di disattivare la possibilità di aprire abbonamenti premium via SMS o chiamate telefoniche;
  2. evitare di inserire il proprio numero di telefono su app che non avrebbero bisogno di queste informazioni;
  3. leggere con attenzione sia le recensioni che i termini di servizio e l’informativa sulla privacy prima di installare una qualsiasi applicazione o tool.

Attenzione, inoltre, a non abbassare la guardia: sebbene queste app siano state rimosse dal team di sicurezza di Google, potrebbero ancora essere disponibili per il download altrove in rete, magari su app store di terze parti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3