אפליקציות חינמיות ב-Google Play גובות תשלום שבועי בלי ששמתם לב

08.04.18

ESET08.04.18

משתמשי אנדרואיד צריכים לשים לב לטכניקת הונאה חדשה שהתגלתה ב-Google Play – כזו שרודפת אחר הכסף באופן ישיר ומסתמכת רק על חוסר הערנות של המשתמש.

אחת האפליקציות שמשתמשת בטכניקה הזו, משחק שהועלה לחנות תחת השם "Pingu Cleans Up", ניסתה לגרום למשתמשים להירשם בהיסח הדעת להרשמה בעלות שבועית של 5.49 פאונד (23 שקלים) באמצעות שיטת התשלום הלגיטימית של גוגל. התכסיס מסתמך על ההנחה שחלק מהמשתמשים ינסו "להעיף בקליק" כל חלון לגיטימי שמונע מהם להשתמש במשחק עצמו, מבלי לייחס תשומת לב לתוכן שלו. המטרה העיקרית של הונאה זו היא משתמשים שפרטי כרטיס האשראי שלהם מאוחסנים בחשבונות ה-Google Play שלהם.

תמונה 1: המשחק המטעה שהתגלה בחנות Google Play

המשחק הועלה לראשונה לחנות ב-8 לפברואר 2018 והותקן בין 50,000 ל-100,000 פעמים, עד שהוא הוסר מהחנות לאחר שחברת ESET התריעה עליו בפני גוגל. על פי הדירוג והביקורות על המשחק, נראה שחלק מהמשתמשים אהבו אותו, מבלי להתייחס לשימוש המטעה בשיטת התשלום של Google Play; עם זאת, ישנם דירוגים נמוכים רבים, כפי שניתן לראות בתמונה 2.

תמונה 2: דירוגים שונים של האפליקציה וביקורות שליליות מצד משתמשים ב-Google Play

איך זה עובד?

לאחר שהאפליקציה מופעלת, היא גורמת למשתמשים לעצב את דמות המשחק שלהם בשלושה צעדים. בשני הצעדים הראשונים, כדי לבחור את התכונה הרצויה, המשתמש צריך ללחוץ על כפתור "אישור" בחלון קופץ המופיע בחזית. בצעד השלישי, משתמשים שפרטי כרטיס האשראי שלהם מאוחסנים בחשבון יראו חלון שדומה לשני החלונות הקודמים, אלא שהמילה "אישור" הוחלפה במילה "הירשם", כפי שניתן לראות בתמונה 3.

לחיצה על כפתור "הירשם" גורמת לכך שהקורבן יחויב ב-5.49 פאונד בכרטיס המצורף לחשבון. התשלום חוזר על עצמו מדי שבוע עד שהמשתמש מבטל את הרשמתו לאפליקציה.

הערה: הקורבנות של התרמית הספציפית הזו כבר לא צריכים לעשות זאת באופן ידני, שכן ההרשמות בוטלו באופן אוטומטי עם הסרת האפליקציה מחנות Google Play.

תמונה 3: שלושת הצעדים המנסים לגרום למשתמשים שפרטי כרטיס האשראי שלהם מאוחסנים בחשבון לשלם על הרשמה.

למשתמשים שאין בחשבונם כרטיס אשראי מוצג חלון אחר בצעד השלישי – חלון המבקש מהם להוסיף אמצעי תשלום כדי להמשיך את הרכישה (תמונה 4). הצורך בהשתתפות פעילה הופך משתמשים כאלה לעמידים יותר בפני נפילה לתרמית הזו (המסתמכת מלכתחילה על חוסר תשומת לב).

תמונה 4 – מסך אחר לצעד השלישי המוצג למשתמשים שפרטי כרטיס האשראי שלהם לא מאוחסנים בחשבון.

איך נזהרים?

במקרה של האפליקציה "Pingu Cleans Up", חלק מהמשתמשים היו עשויים לשים לב לכמה דגלים אדומים, עוד לפני שחלון ה"הרשם" הופיע:

• קישור לא פעיל ל"תנאי שימוש" בכל שלושת הצעדים שהוצגו בתמונה 3.
• בקשת תשלום מיד עם הפעלת האפליקציה, למרות שהאפליקציה מסווגת כחינמית ב-Google Play
• דירוגים וביקורות שליליות ב-Google Play

כדי שלא ליפול בתרמיות מסוג זה, תמיד שימו לב להודעות לא צפויות וחשבו פעמיים לפני אישור בקשות שכאלה. לפני התקנת אפליקציה, בדקו את הדירוג והביקורות שלה. אם אתם מרשים לילדיכם להתקין משחקים על המכשיר שלכם, כדאי שתצרו חשבון נפרד למטרה הזו, כזה שפרטי חשבון האשראי לא מאוחסנים בו.

בנוסף, פתרון אבטחה אמין לסמארטפון/טאבלט יסייע להגן על מכשיר האנדרואיד שלכם מפני האיומים האחרונים.