Rubavano soldi promettendo di rivelare messaggi e chiamate private: 28 app nascondevano la truffa CallPhantom
Il sistema era tentacolare. Una rete composta da 28 applicazioni, scaricabili senza difficoltà da Google Play Store, prometteva agli utenti Android di fornire un report dettagliato contenente tutte le comunicazioni associate a un numero di telefono. A fronte di un piccolo abbonamento, la promessa era di mostrare tutti i messaggi e tutte le chiamate, sia inviate che ricevute, della persona interessata. Alla fine dell'operazione, però, le persone che effettuavano il pagamento rimanevano puntualmente con un pugno di mosche in mano. A scoprire il sistema è stata la società di sicurezza informatica ESET, specializzata in questo tipo di truffe, la quale ha ricostruito il nutrito sottobosco di applicazioni e sistemi di pagamento che è stato ribattezzato CallPhantom.
Secondo i ricercatori, l'intera campagna avrebbe generato circa 7,3 milioni di download, localizzati principalmente in India e nella regione del Pacifico. A insospettire il team di informatici è stato uno strano post su Reddit. L'autore del messaggio si lamentava di essere stato truffato da un'app sviluppata dal governo indiano per scoprire gli archivi chiamate dei contatti telefonici. Dopo una verifica approfondita, gli hacker di ESET si sono resi conto non solo che l'app in questione non aveva nulla a che fare con il governo di Nuova Delhi, ma che lo Store di Google era pieno di programmi analoghi che avevano solo lo scopo di spillare denaro a chiunque cascasse nel tranello
Il sistema CallPhantom: abbonamenti in cambio di numeri inventati
La truffa funzionava così. Dopo aver scaricato una delle app incriminate, l'utente inseriva il numero di telefono dal quale estrapolare la cronologia. L'app iniziava quindi a simulare una specie di ricerca dati, fornendo anche un'anteprima fittizia dei dati che avrebbe mostrato al termine del processo. Per visionare il risultato finale, però, alla vittima veniva richiesto il pagamento di un abbonamento. I costi potevano variare dai cinque fino ai 70 o 80 dollari per i pacchetti più costosi. Naturalmente, una volta ricevuti i soldi, l'app restituiva soltanto un elenco con numeri e dati completamente predefiniti, già presenti a priori nel codice del programma, come hanno potuto appurare gli esperti di ESET.
A rendere CallPhantom ancora più insidioso era il fatto che alcune applicazioni utilizzavano sistemi di pagamento esterni a Google Play, aggirando così il sistema ufficiale di fatturazione di Google e, beffa delle beffe, rendendo più difficile per le vittime ottenere rimborsi o annullare gli abbonamenti.
Le procedure per recuperare i soldi della truffa
Per evitare brutte sorprese, gli esperti dell'ESET consigliano innanzitutto di eliminare dal proprio dispositivo Android le app fraudolente (uno dei ricercatori che ha partecipato all'indagine ha pubblicato sul sito We Live Security la lista completa). A questo punto, le chance di rientrare del denaro sottratto dai criminali dipendono molto dal metodo con cui si è attivato l'abbonamento fake.
"Per le 28 app descritte in questo post, gli abbonamenti esistenti sono stati annullati quando le app sono state rimosse da Google Play", ha spiegato Lukas Stefanko, Malware Researcher di ESET. Se l'acquisto è stato effettuato attraverso i tradizionali canali di Google Play, gli utenti potrebbero quindi ricevere un rimborso sulla base delle condizioni d'utilizzo della piattaforma. Se però la transazione è avvenuta inserendo direttamente i numeri della carta di credito sul sistema interno dell'app o passando per terze parti, allora il risarcimento diventa molto più complesso. In questi casi il consiglio è di rivolgersi direttamente ai fornitori del servizio di pagamento utilizzato.
