Truffa Cheetah mobile
SICUREZZA INFORMATICA

Cheetah Mobile e la truffa delle 8 applicazioni

Cheetah Mobile, un’azienda cinese conosciuta più che altro per i suoi prodotti di punta, Clean Master e Battery Doctor insieme ad una sua succursale, Kika Tech, si è trovata invischiata in una frode pubblicitaria di proporzioni gigantesche su Android. Una frode da milioni di dollari.

Secondo quanto riportato da Kochava, sono 7 le app Android sviluppate da Cheetah Mobile, più una di Kika Tech, coinvolte nello scandalo. In totale parliamo di oltre 2 miliardi di download dal Play Store. Queste società sono state accusate di aver pilotato l’installazione di nuove app.

Cosa è successo in pratica?

Il fatto è questo: la gran parte delle applicazioni guadagna promuovendo e raccomandando l’installazione di altre app pubblicizzate all’interno di esse. Per ciascun download, le società cui le app appartengono guadagnano dai 50 centesimi ai 3 dollari. Per sapere quale pubblicità abbia funzionato, ovvero quale sia l’app che ha spinto l’utente al download, nel momento stesso in cui viene aperta per la prima volta, la seconda applicazione va, per così dire, a guardare indietro, per scoprire qual è stato il click che ha portato all’installazione. Questo rientra negli accordi, per intenderci.

Ciò di cui Cheetah Mobile e Kika Tech sono colpevoli è l’aver usato impropriamente i permessi dati dagli utenti al fine di tracciare i download di nuove app. Sfruttando questi dati, le società hanno potuto rivendicare il diritto a una ricompensa, anche se il merito dell’installazione era da attribuirsi a un’altra pubblicità su un’altra app.

Ecco una lista della 7 app di Cheeta Mobile, e l’app di Kika Tech, che sono rimaste invischiate in questo scandalo:

  • Clean Master (1 miliardo di utenti);
  • Security Master (540 milioni di utenti);
  • CM Launcher 3D (225 milioni di di utenti);
  • Battery Doctor (200 milioni di utenti);
  • Cheetah Keyboard (105 milioni di utenti);
  • CM Locker (105 milioni di utenti);
  • CM File Manager (65 milioni di utenti);
  • Kika Keyboard (di proprietà di Kika Tech; 205 milioni di utenti).

Potrebbe sembrare una cosa da nulla, ma rivendicare I guadagni per ogni download, diciamo, ‘ispirato’, significa ottenere anche milioni di dollari in maniera illecita. Questo significa che, potenzialmente, Cheetah Mobile e Kika Tech sono responsabili di un furto di proporzioni enormi.

Le accuse a Cheeta Mobile

Kika Tech si è difesa dicendo che:

“la compagnia non ha nessuna intenzione di impegnarsi in azioni fraudolente,”

e che

“farà il possibile per sistemare la situazione quanto prima e punire i responsabili.”

Cheeta Mobile, invece, ha preferito incolpare gli altri. Se l’è infatti presenta con gli SDKs (software development kits), ovvero l’insieme degli strumenti per lo sviluppo e la documentazione di software, e le reti commerciali. La società afferma che siano stati questi ultimi a rendersi responsabili di click injection, ovvero quel processo che vede l’appropriazione indebita della ricompensa – praticamente fingere che il click che ha portato all’installazione sia venuto dalla propria app. Tuttavia, quando Kochava ha puntualizzato che l’SDK coinvolto nell’attività illegale in realtà appartiene proprio a Cheetah Mobile, la società ha negato tutto.

Poiché queste app si trovano sul Play Store, naturalmente anche Google è stato coinvolto. La risposta del colosso americano è stata che Cheetah Mobile e Kika Tech sono sotto investigazione per attività fraudolenta. Non che dica molto, ma se non altro la truffa è stata scoperta, e può servire anche come avvertimento per eventuali altre società malintenzionate.

Cosa può fare l’utente per proteggersi?

Quello che si può fare è assicurarsi che l’applicazione sia stata verificata, che lo sviluppatore sia conosciuto: un modo per fare questo è verificare se l’app in questione ha il badge di Play Protect, la suite di servizi per Android che funziona praticamente come garanzia di sicurezza per le applicazioni. Non è molto, ma è un inizio.

Le aziende, d’altro canto, devono sempre verificare le vulnerabilità presenti nelle proprie applicazioni attraverso un servizio periodico di Vulnerability Assessment. Questa attività permette di identificare le vulnerabilità note ed eventualmente patcharle. In questo modo può essere garantita la sicurezza dell’app.

Federico D’Agostino

Swascan Marketing Manager

Contenuti sponsorizzati