2 februari 2016 16:00

Puzzel-app zadelt nietsvermoedende spelers op met betaalabonnement

Een op het eerste zicht betrouwbare puzzel-applicatie in de Play Store sluit zonder medeweten van de spelers een betaalabonnement af met Nederlandse bedrijven.

Hoewel Google de Play Store goed in het oog houdt, sluipen er van tijd tot tijd toch verdachte apps door de mazen van het net. Dat bewijst Blend Color Puzzle, een spel dat sinds november 2015 op de Play Store te vinden was. Blend Color Puzzle is een app waarbij spelers schakeringen van kleuren moeten herkennen. 50.000 mensen zagen het spelletje wel zitten.

Abonnement

Wie de app installeerde en opende, werd echter getrakteerd op twee sms-berichten met daarin de melding dat er een abonnement is afgesloten. De gebruiker in kwestie moest daar niets voor doen, en kreeg op geen enkel moment een waarschuwing te zien totdat het te laat was. De twee betekenisloze mobiele abonnementen kosten 4,99 euro per stuk. Geen enorm bedrag, maar beslist meer dan je wil kwijt zijn voor niets.

De werkelijke intenties van de Blend Color Puzzle-app werden blootgelegd door beveiligingsfirma G-Data. G-Data bracht Google op de hoogte van de malware-applicatie, waarna de Play Store-eigenaar de app meteen offline haalde. Het beveiligingsbedrijf merkt op dat de praktijken gebruikt in Blend Color Puzzle uniek zijn. Het is de eerste keer dat een op het eerste zicht betrouwbare app in de Play Store op een dergelijke manier geld van gebruikers ontfutselt.

Nederlandse bedrijven

De abonnementen in kwestie werden afgesloten met twee Nederlandse bedrijven: Globway B.V. en Telefuture Nederland B.V. De betalingen liepen via het Duitse Net Mobile AG, dat als tussenpersoon misbruikt werd en verder niets met de zaak te maken heeft. G-Data laat weten dat Net Mobile vlot meewerkte met getroffen gebruikers die het abonnement wilden opzeggen.

De argwanende Androidgebruiker kon aan de app op de Play Store zelf al wel zien dat er iets scheelde. Hoewel het om een eenvoudig puzzelspel ging, vroeg de applicatie naar toestemmingen zoals het tot stand brengen van netwerkverbindingen, en het zichzelf opstarten na een reboot. In de praktijk zet de app de draadloze verbinding van het slachtoffer af, om vervolgens via mobiele data contact te leggen met een netwerkdomein. Vervolgens werden de abonnementen afgesloten via WAP-billing, een protocol waarbij inhoud van websites verkocht en aangerekend wordt via de belwaarde op een mobiel toestel.

Verdachte reviews

Naast de verdachte toestemmingen gaven ook de reviews weg dat niet alles aan de app koosjer was. Een heleboel reviews van mensen met exotische en vals klinkende namen waren erg positief. De inhoud sloeg echter op niets (lof voor onbestaande functies), en de afbeeldingen van de reviewers kwamen niet overeen met het geslacht dat hun naam suggereerde. Bovendien kwamen dezelfde prentjes onder verschillende namen terug.

Hoewel de app, eens geïnstalleerd, erg geniepig te werk gaat is het dus niet onoverkomelijk om dergelijke misleidende applicaties te mijden. Zoals steeds kijk je best kritisch naar de toestemmingen die een app vraagt. Vertrouw je iets niet, installeer de applicatie dan ook niet. Lees vervolgens de reviews en blader desnoods verder dan de eerste vijf resultaten.