SophosLabs ha descubierto una colección de aplicaciones de Android en Play Market de Google, llamadas Fleeceware. Estas tienen como objetivo parece ser sobrecargar a los usuarios por aplicaciones móviles que ofrecen una funcionalidad muy simple disponible en aplicaciones de bajo costo o gratuitas.
Los desarrolladores de aplicaciones aprovechan un modelo de negocio disponible dentro del ecosistema Play Market. En él, los usuarios pueden descargar y usar las aplicaciones Fleeceware sin cargo durante un breve período de prueba. Cuando caduca la prueba, si el usuario que descarga e instala una de estas aplicaciones no ha desinstalado la aplicación e informado al desarrollador que no desea continuar utilizando la aplicación, el desarrollador de la aplicación cobra al usuario.
En el caso de una aplicación normal, esto podría costar solo unos pocos dólares. Pero los editores o desarrolladores de las aplicaciones descritas en esta publicación rutinariamente cobran a los usuarios cientos de dólares o euros.
¿Apps Fleeceware no maliciosas?
Las aplicaciones en sí no parecen ser maliciosas ni contienen código malicioso. Algunas de estas aplicaciones pueden incluso tener funcionalidades útiles (aunque redundantes). Sin embargo, es difícil imaginar que cualquier persona a la que se le cobre cientos de dólares por un simple lector de código de barras o un filtro de fotos consideraría un gasto «potencialmente no deseado». Nadie lo quiere.
Debido a que estas aplicaciones existen en un área gris categórica que no es abiertamente malware y no es una aplicación potencialmente no deseada (PUA), hemos acuñado el término fleeceware. ¿Por qué? Porque su característica definitoria es que cobran de más a los usuarios por la funcionalidad que está ampliamente disponible en aplicaciones gratuitas o de bajo costo.
Sin respuesta de Play Market de Google
Nos pusimos en contacto con representantes de Play Market de Google para averiguar si los términos y condiciones bajo los cuales se venden estas aplicaciones violan cualquiera de las políticas públicas o internas de Google.
Sin embargo, no hemos recibido una respuesta de los representantes de Google sobre si las suscripciones mensuales de alto valor a aplicaciones con funciones muy básicas violan sus políticas de compra en la aplicación. La semana pasada, después de que Sophos les llamó la atención sobre este comportamiento de compra y envió una lista de 15 aplicaciones dedicadas a esta práctica, un representante de Google nos dijo que la compañía había decidido retirar algunas de su tienda. Según nuestro recuento, se han eliminado 14 de las 15 aplicaciones que informamos a Google. Una búsqueda posterior reveló otro lote de aplicaciones, con un recuento de descargas aún mayor que el primero, todavía disponible en Play Market.
Alentamos a Google a hacer más para endurecer sus políticas que, actualmente, no prohíben explícitamente a los desarrolladores de aplicaciones aprovechar esta escapatoria de compra en la aplicación. Los clientes que experimentan el remordimiento del comprador pueden no tener ningún recurso para solicitar reembolsos después de unos días. Si no está monitoreando muy activamente su tarjeta de crédito para cargos como este, es posible que no lo note hasta que se cierre la ventana para reembolsos.
El modelo de negocio de fleeceware
Debido a que las aplicaciones en sí mismas no participan en ningún tipo de actividad tradicionalmente maliciosa, eluden las reglas que de otro modo facilitarían a Google justificar su eliminación del Play Market. Sus desarrolladores también parecen ser muy buenos para mantenerse bajo el radar de los proveedores de seguridad. Aun así, hay otras características de estas aplicaciones que las hacen menos deseables.
Estas aplicaciones son, fundamentalmente, simples. Hemos observado herramientas como lectores de códigos de barras o QR, calculadoras, herramientas para hacer GIF animados o editores de fotos. En la mayoría de los casos, existen alternativas gratuitas de proveedores bien conocidos que ya están disponibles en Play Market.
Cuando ejecuta cualquiera de estas aplicaciones, la aplicación solicita al usuario que se registre por un período de prueba gratuito muy corto. Esto generalmente dura 3 días, a través de una interfaz dentro de la aplicación. Los creadores de la aplicación requieren que se registre con información de pago antes de poder ejecutar la aplicación. Y muchos usuarios no entienden el requisito de que, para abandonar la versión de prueba, tienen que decirle explícitamente al desarrollador que están cancelando la versión de período de prueba período.
Muchos simplemente se olvidan de hacerlo, o piensan que desinstalar la aplicación constituye una cancelación. Pero los desarrolladores de la aplicación no lo ven así.
Usuarios no lograron darse de baja
En muchas revisiones para aplicaciones de fleeceware, los usuarios informan que no pudieron darse de baja del período de prueba y se les cobraron cantidades muy altas de dinero. En el caso de una aplicación de lector de código QR, el desarrollador cobra a los usuarios 104,99 € después de 72 horas. Los creadores de una aplicación llamada Professional GIF Maker cobran a los usuarios € 214,99 cuando finaliza la prueba. No hemos visto aplicaciones vendidas a este precio antes.
Es un modelo de negocio que sigue una línea ética fina, pero aparentemente tiene éxito. Algún porcentaje de usuarios no podrá cancelar la versión de prueba. Incluso si tienen la intención de hacerlo, y los creadores de la aplicación se ganan el apoyo de los usuarios que olvidan darse de baja o solicitan un reembolso dentro del breve período en el que pueden hacerlo. entonces.
Las apps tienen todas las de ganar
Con millones de instalaciones, en algunos casos, si incluso un pequeño porcentaje de usuarios olvida cancelar su suscripción antes de que caduque el período de prueba, los creadores de aplicaciones pueden ganar mucho dinero.
Los usuarios de aplicaciones ven notificaciones de prueba como esta cuando lanzan las aplicaciones que participan en esta práctica por primera vez. Las personas que se registran para la prueba deben proporcionar información de pago la primera vez que inician la aplicación utilizando los pagos integrados en la aplicación de Google.
Por supuesto, pueden «cancelar en cualquier momento», pero esto es un poco más caro que, por ejemplo, una suscripción típica de una revista. Una vez que se le ha cobrado, casi no hay ningún recurso para recuperar su dinero.
Google Play Market en realidad permite este tipo de transacciones porque siguen las reglas para las compras en la aplicación. Si bien son claramente hostiles para el consumidor, las aplicaciones no son maliciosas y, de hecho, realizan la función que dicen poder realizar.
Si bien los consumidores son libres de comprar lo que quieran, no creemos que una aplicación que genera una imagen GIF animada deba costar cientos de euros o dólares. Y en algunos casos, el editor no les cobrará a esos usuarios solo una vez. Varias de estas aplicaciones de software polar les informan a los usuarios que se les cobrará cada mes hasta que el usuario cancele su suscripción.
:)