È in corso una campagna globale, denominata UltimaSMS, che tramite 152 app Android con 10,5 milioni di download sarebbe stata utilizzata da uno o più attori criminali per abbonare gli utenti, inconsapevolmente, a servizi di abbonamento premium.
Secondo l’analisi dei ricercatori Avast che hanno identificato le attività malevoli, poiché i primi campioni sarebbero già stati tracciati nello scorso maggio, le nuove evidenze rilevate a ottobre (sarebbero state segnalate 82 app trovate sul Play Store di Google) porterebbero a pensare inconfondibilmente che la truffa sarebbe ancora in evoluzione.
Indice degli argomenti
UltimaSMS: la campagna globale
Secondo gli approfondimenti di Sensor Tower, un fornitore di market intelligence e approfondimenti sulla app economy globale, le app sarebbero state scaricate da utenti di oltre 80 Paesi e questo confermerebbe l’ipotesi su una diffusione globale della campagna UltimaSMS.
Tra i primi dieci Paesi più colpiti dalla campagna figurano Egitto, Arabia Saudita, Pakistan ed Emirati Arabi Uniti, con oltre un milione di download. Chiudono la lista Stati Uniti e Polonia con ben 170.000 vittime.
Le tipologie di app scoperte
In particolare, le app false scoperte apparterrebbero ad una vasta gamma di categorie come scanner per codici QR, editor di video e foto, blocchi per spam, filtri per fotocamere e giochi e presenterebbero tutte una stessa struttura di base riproposta numerose volte allo scopo di mascherarle come applicazioni autentiche attraverso profili ben allestiti sul Play Store.
Tuttavia, a un esame più attento, tali profili presentano dichiarazioni sulla privacy e contatti generici oltre che numerose recensioni negative da parte di chi avrebbe identificato la truffa.
È possibile consultare l’elenco completo delle applicazioni rilevate sulla piattaforma GitHub.
UltimaSMS: come avviene la truffa
Quando un utente installa una di queste applicazioni, l’app controllerebbe la sua posizione, l’IMEI e il numero di telefono per determinare il prefisso e lingua del paese da utilizzare per l’inganno.
Successivamente una volta che l’utente apre l’app, una schermata, personalizzata nella lingua in cui è impostato il dispositivo, richiederebbe di inserire come informazioni bloccanti per il corretto utilizzo del presunto servizio offerto un numero di telefono valido e, talvolta anche un indirizzo e-mail.
In realtà, dopo aver inserito i dettagli richiesti, l’utente verrebbe iscritto a dei servizi SMS premium con addebiti fino a $ 40/mese a seconda del paese e del proprio operatore di telefonia mobile.
Alcuni dei tanti prompt di apertura delle app oltre che differire in base alla localizzazione potrebbero non includere chiaramente gli avvisi relativi ai potenziali addebiti.
Conclusioni
Dall’analisi Avast risulta inoltre che la campagna UltimaSMS sia stata propagata attraverso canali pubblicitari su popolari siti di social media come Facebook, Instagram e TikTok, con numerosi annunci video accattivanti.
Sebbene la maggior parte di queste app non offra le funzionalità pubblicizzate e nonostante le numerose recensioni negative ricevute sul Play Store e le azioni di rimozione da parte di Google, gli attori criminali responsabili della truffa sono riusciti a mantenere comunque un costante afflusso di vittime preservando la loro presenza sullo store, probabilmente accumulando anche milioni di dollari dai guadagni fraudolenti.
Anche se gli utenti interessati possono eliminare le app disinstallandole, gli addebiti SMS purtroppo continueranno.
Per evitare future truffe di questo genere, restano come consigli utili quelli di
- contattare il proprio operatore telefonico chiedendo esplicitamente di disattivare la possibilità di aprire abbonamenti premium via SMS o chiamate telefoniche;
- evitare di inserire il proprio numero di telefono su app che non avrebbero bisogno di queste informazioni;
- leggere con attenzione sia le recensioni che i termini di servizio e l’informativa sulla privacy prima di installare una qualsiasi applicazione o tool.
Attenzione, inoltre, a non abbassare la guardia: sebbene queste app siano state rimosse dal team di sicurezza di Google, potrebbero ancora essere disponibili per il download altrove in rete, magari su app store di terze parti.