Аналитики компании ESET обнаружили в официальном каталоге приложений мошенническое приложение Pingu Cleans Up, которое подписывало пользователей на дорогостоящий сервис, используя легитимный способ оплаты в Google Play и социальную инженерию.
Игра Pingu Cleans Up впервые появилась в магазине приложений 8 февраля 2018 года. За прошедшее с этого момента время ее загрузили от 50 000 до 100 000 раз.
После установки на мобильное устройство приложение предлагало пользователю создать игрового персонажа. На первых двух этапах его создания потенциальная жертва выбирала нужный атрибут и должна была подтвердить свой выбор, нажав на кнопку «Подтвердить» во всплывающем окне.
На последнем, третьем этапе пользователь с банковской картой, привязанной к аккаунту Google Play, видел окно, визуально напоминающее предыдущие. Однако кнопка «Подтвердить» была заменена кнопкой «Подписаться». Нажав на нее, пользователь оформлял подписку стоимостью 5,49 евро (около 400 рублей) в неделю. Платеж списывался с карты автоматически до момента отмены подписки.
Пользователи, к учетной записи которых не была привязана банковская карта, видели на третьем этапе другое окно. Им предлагалось добавить информацию о способе оплаты, чтобы завершить покупку.
Простая мошенническая схема основалась на предположении, что многие пользователи кликнут по любому окну, мешающему игре, не глядя и практически не вчитываясь в текст. Судя по многочисленным негативным отзывам, оставленным приложению в Google Play, данный метод действительно работал.
После предупреждения ESET игра Pingu Cleans Up была удалена из Google Play. Пострадавшим пользователям не придется отключать подписку вручную: она была отменена автоматически.
