Oito aplicativos para Android estariam utilizando as permissões de usuários como parte de um esquema de fraude que pode ter roubado milhões de dólares. A tática foi desmascarada pela empresa de análise e atribuição de aplicativos Kochava, que compartilhou a descoberta com o site norte-americano Buzzfeed News.
De acordo com a companhia, juntos, os apps somam dois bilhões de downloads na Google Play. Sete deles pertencem à fabricante chinesa Cheetah Mobile, incluindo a popular ferramenta de otimização e limpeza de espaço Clean Master, que reúne mais de um milhão de usuários. O outro programa envolvido seria da conterrânea Kika Tech, que teria recebido grande investimento da Cheetah em 2016.
App amigo secreto: saiba como fazer sorteio pelo celular com Papelzinho
Fraudes de apps da Google Play não afetam diretamente os usuários
Quer comprar celular, TV e outros produtos com desconto?
O golpe não afeta os usuários, mas outras companhias de aplicativos, que participam de uma estratégia legal para angariar novos usuários. Desse modo, desenvolvedores pagam uma “recompensa” de US$ 0,50 (cerca de R$ 1,93) a US$ 3 (aproximadamente R$ 11,61) para apps parceiros que ajudam a impulsionar novas instalações de seus apps. A Kochava averiguou que a Cheetah Mobile e a Kika Tech rastreavam quando usuários de seus softwares baixavam outros programas na loja do Google e reivindicavam o crédito pelo download, de forma indevida. A prática ilegal é chamada de flood e injeção de cliques.
“Isso é roubo – não há outra maneira de dizê-lo”, disse Grant Simmons, chefe de análise de clientes da Kochava, ao BuzzFeed News. “Estas são empresas reais fazendo isso – em escala – não uma pessoa aleatória em seu porão”, ressaltou sobre a gravidade do episódio. Simmons afirma ter visto essa conduta em outros apps geridos por empresas chinesas e acredita que seja uma espécie de tática de negócios.
Apps envolvidos
Aplicativo |
Número de downloads |
Empresa |
Clean Master |
1 bilhão |
Cheetah Mobile |
Security Master |
540M |
Cheetah Mobile |
CM Laucher 3D |
225M |
Cheetah Mobile |
Kika Keyboard |
205M |
Kika Tech |
Battery Doctor |
200M |
Cheetah Mobile |
Cheetah Keyboard |
105M |
Cheetah Mobile |
CM Locker |
105M |
Cheetah Mobile |
CM File Manager |
65M |
Cheetah Mobile |
Alguns dos apps da Cheetah envolvidos na denúncia figuram entre os aplicativos de produtividade mais populares da Google Play. “Apenas nos últimos 30 dias, esses aplicativos foram baixados mais de 20 milhões de vezes, de acordo com dados do serviço de análise AppBrain”, informa o Buzzfeed News. Já o Kika Keyboard é a aplicação de teclado mais popular da loja e afirma ter 60 milhões de downloads por mês.
De acordo com o CTO da empresa de investigação de fraude de anúncios Method Media Intelligence, Praneet Sharma, os programas afetados exigem uma ampla gama de permissões dos usuários, que incluem, até mesmo, a capacidade de acompanhar as teclas digitadas ou saber quando outros apps são baixados. Para Sharma, o Google e outras empresas que operam lojas do gênero não deveriam aceitas programas que solicitam alto nível de permissões.
Clean Master está entre os apps envolvidos
O que as empresas dizem
Procurados pelo Buzzfeed, os representantes da Kika Tech demonstraram surpresa ao saberem que o app Kika Keyboard estaria envolvido em práticas de injeção de cliques. De acordo com uma declaração do CEO da companhia, Bill Hu, ao site, essas atividades teriam acontecido sem conhecimento da empresa.
“Neste momento, a Kika está pesquisando extensivamente as questões críticas que vocês levantaram internamente. Se, de fato, o código tiver sido colocado dentro de nosso produto, faremos de tudo para retificar rapidamente e totalmente a situação e tomar medidas contra os envolvidos”, disse ele. “Por enquanto, não temos mais comentários até começarmos nossa pesquisa interna”. Apesar da alegações, a Kochava e Method Media Intelligence, em uma análise adicional para o Buzzfeed, verificaram que a aplicação de teclado para Android realizava o processo de flooding e injeção por meio de funções criadas diretamente no aplicativo.
Também procurada pela página norte-americana, a Cheetah Mobile disse acreditar que kits de desenvolvimento de software de terceiros, os SDKs, integrados em seus aplicativos, seriam os responsáveis pela injeção de cliques.
“Trabalhamos com muitas plataformas de anúncios tradicionais por meio da integração do SDK. (…) As plataformas de anúncios e as partes independentes de arbitragem trabalham juntas para decidir a atribuição de instalações de aplicativos, e não fazemos parte desse processo. Continuamos examinando o assunto e o atualizaremos se tivermos mais informações”, disse um porta-voz da empresa por meio de comunicado.
Entretanto, de acordo com a Kochava, o SDK envolvido na atividade fraudulenta é desenvolvido e de propriedade da Cheeta e não de terceiros. Segundo o Buzzfeed, após a denúncia, a Cheetah Mobile removeu os apps CM Locker e Battery Doctor da Google Play. Em comunicado, informou que o primeiro já foi relançado e o segundo será em breve, sem deixar claro quando.
Por: Taysa Coelho