Andrew Brandt é o diretor de pesquisa de ameaças da Blue Coat. Ele também é vítima de publicidade agressiva em aplicativo móvel.

Há alguns meses, o entusiasta Android baixou um jogo promovido pela Amazon como aplicativo gratuito do dia. “Eu realmente não achei nada nele, mas depois que rodei o jogo, coisas estranhas começaram a acontecer no meu celular”, explicou por e-mail.

Por exemplo, as notificações começaram a aparecer para coisas não instaladas no telefone. “Então, em cerca de 30 minutos entre instalação, jogar, e depois colocar o telefone longe, recebi uma confirmação de mensagem de texto que eu tinha assinado algum tipo de serviço de SMS pago por US$5,99 por mês”, disse ele.

“Claro que eu não tinha assinado o serviço”, disse. “Na verdade, eu sequer tinha enviado uma única mensagem SMS o dia inteiro.”

O que aconteceu? Brandt havia dado permissão ao aplicativo para enviar mensagens SMS quando foi instalado - para que pudesse compartilhar pontuação e outros conteúdos sobre o jogo com amigos e outros jogadores.

Mas o app abusou do privilégio e enviou uma mensagem por meio de um método fora do aplicativo de mensagens normal do telefone para se auto-inscrever em um serviço premium.

O caso de Brandt foi rapidamente corrigido por seu fornecedor e a Amazon imediatamente retirou o aplicativo de sua loja online. Mas o problema de aplicativos móveis meterem os narizes binários onde não deveriam está aumentando. E, de acordo com um estudo da Bitdefender, é um mal que afeta significativamente tanto o mundo Android quanto o iOS.

Depois de analisar mais de meio milhão de aplicativos gratuitos em ambas as plataformas ao longo do último ano, a Bitdefender constatou que “as aplicações são igualmente invasivas e curiosas tanto no iOS como no Android, mesmo que se possa argumentar que um dos sistemas operacionais é mais seguro.”

O estudo sugere que o muro erguido em volta do “bem-cuidado jardim” da Apple pode ter algumas rachaduras. “Surpreendentemente, os aplicativos iOS combinam com os do Android”, disse Bogdan Botezatu, analista sênior e-ameaça da Bitdefender, por e-mail.

“O objetivo principal dos anunciantes é reter dados do usuário, independente da plataforma, e muitas vezes ir tão longe quanto a plataforma permitir”, disse.

Por exemplo, mais de 45% dos aplicativos iOS contém capacidades de rastreamento de localização, em comparação com cerca de 35% para aplicativos Android, observou o estudo.

A Bitdefender constatou que 7,69% dos aplicativos para Android podem acessar os contatos armazenados no telefone, e 18,92% do iOS aplicativos fizeram a mesma coisa.

Embora uma parte dos apps Android possam vazar IDs de dispositivos, endereços de email e números de telefone, a Apple tem tapado os buracos em seu ecossistema.

Cerca de 15% dos aplicativos Android podem vazar IDs de dispositivos sobre um aparelho, mostrou o estudo da Bitdefender, enquanto que quase 6% podem vazar e-maila e mais de 8% podem vazar números de telefone.

Já os aplicativos para iOS que tecnicamente poderiam vazar IDs de dispositivos, e-mails e números de telefone são rejeitados rotineiramente pela Apple, explicou Botezatu, quando os analisa para a adequação em sua loja de aplicativos.

“A Apple de longa data aplica políticas rígidas”, disse Jeremy Linden, gerente de produto de segurança da Lookout, por e-mail. “Enquanto a Google Play tem políticas em relação ao comportamento de anúncios, eles não são tão rigorosos como a Apple.”

Além disso, a empresa de Cupertino intensamente impõe suas políticas. “Apps tem que ser revistos antes de serem publicados”, explica Linden. “Isso faz da publicação de um aplicativo iOS mais complicada, mas ajuda a cumprir algumas das políticas da Apple”.

A Apple não respondeu a um pedido de comentário.

De acordo com a TrendMicro, quase um em cada quatro aplicativos móveis Android contém malware ou o tipo de golpe assinatura premium que infectou o telefone de Brandt. “Esses aplicativos não apenas coletam suas credenciais, mas [podem] enviar mensagens de texto e acessar sites em que se você é cobrado pelo seu provedor de telecomunicações”, disse Tom Kellermann, vice-presidente de ciber ​​segurança da Trend Micro, disse em uma entrevista.

“É uma ótima maneira de explorar alguém”, ele continuou, “porque fiz o download de um aplicativo que, sem o seu conhecimento, rouba suas credenciais e listas de contatos e o obriga a utilizar serviços premium.”

Embora o uso de adware agressivo seja um problema crescente no mundo da telefonia móvel, não é algo novo. “É um problema que sempre esteve por perto”, disse Dirk Sigurdson, diretor de engenharia da segurança móvel da Rapid7, em uma entrevista. “Os PCs sempre tiveram este problema também. Adware sempre coletaram informações dos usuários para direcionar anúncios feitos.

“Pelo menos com o celular, você pode ver o que seus aplicativos estão acessando”, acrescentou.