La aplicación de teclado de Android fue sorprendida con las manos en la masa tratando de hacer compras furtivas


Se ha descubierto que la aplicación de teclado digital ai.variety, que ha acumulado 40 millones de descargas, inscribe a los usuarios en servicios top quality sin su consentimiento

La versión de Android de la well-known aplicación de teclado digital ai.variety ha intentado realizar más de 14 millones de transacciones no autorizadas que podrían haber costado a los usuarios US $ 18 millones en cargos no deseados, dice un informe de la firma de tecnología móvil Upstream.

Los intentos de compra provienen de 110,000 dispositivos únicos en 13 países. El tráfico fue principalmente alto en el norte de África y Sudamérica, y la actividad ilícita se disparó en julio de este año y continuó durante los siguientes dos meses. Esto fue en realidad después la aplicación fue retirada de la tienda Google Enjoy en junio.

La aplicación, que se ha descargado más de 40 millones de veces, promete personalizar su teclado con diferentes emojis y fuentes e incluye características como aprender su estilo de escritura y corregir automáticamente sus errores de escritura. De hecho, puede recordar que la aplicación también fue noticia el año pasado, cuando se supo que sus desarrolladores habían dejado los datos personales de más de 31 millones de usuarios expuesto en un servidor desprotegido.

Upstream ahora ha descubierto que ai.variety, una vez descargado en un teléfono inteligente, comienza a realizar solicitudes de compra no autorizadas de contenido digital top quality. La aplicación ha estado suscribiendo a los usuarios a servicios premium utilizando kits de desarrollo de application (SDK) con «enlaces codificados de nuevo a rastreadores publicitarios».

«Estos SDK navegan a los anuncios a través de una serie de redireccionamientos y realizan clics automáticamente para activar las suscripciones». dijo Upstream. Todo esto tiene lugar en segundo plano, por lo que los usuarios no son los más sabios. También toma la apariencia de otras aplicaciones populares como Soundcloud para llevar a cabo algunas de estas actividades.

Fuente de la imagen: Google Engage in

Es posible que los usuarios hayan sido informados por la larga lista de permisos que solicitó la aplicación, incluido el acceso de lectura a mensajes de texto, fotos, films, datos de contacto y también acceso al almacenamiento en el dispositivo. No hace falta decir que siempre debes tener cuidado con los tipos de permisos que otorga a aplicaciones.

Se recomienda a los usuarios de la aplicación que comprueben en sus teléfonos inteligentes cualquier indicio de comportamiento extraño y eliminen la aplicación no autorizada. También debe verificar si es posible que le hayan cobrado por servicios que no ha solicitado.

Como Notas de amenaza, la aplicación todavía está disponible en mercados alternativos de Android, así como en App Keep, aunque se dice que Apple está investigando la funcionalidad de la aplicación ahora. Forbes escribe que en realidad hay una nueva versión de Ai.variety en Google Perform pero sin la misma funcionalidad maliciosa.

Las travesuras de la aplicación pueden recordarles a algunos lectores estafa de suscripción que los investigadores de ESET descubrieron el año pasado y eso se basó únicamente en la falta de atención del usuario.








Enlace a la noticia initial