Mais de meio bilhão de pessoas instalaram o VidMate, um app para Android que permite baixar vídeos do YouTube, do WhatsApp e de outras plataformas. Essa funcionalidade tornou o VidMate, que é ligado à gigante chinesa de tecnologia Alibaba, altamente popular.
Mas parece que a conveniência ainda vem com um alto custo para os usuários. O VidMate tem exibido anúncios escondidos e feito as pessoas assinarem serviços pagos secretamente, de acordo com conclusões de pesquisadores de segurança de uma firma de tecnologia móvel situada em Londres, a Upstream.
Durante uma entrevista pelo Skype, um porta-voz do VidMate negou que o app realize atividades suspeitas intencionalmente e disse que está fazendo investigações. Mas ele se negou a dar informações básicas, como os nomes dos executivos e fundadores do VidMate, e não respondeu aos questionamentos seguintes, incluindo um pedido para confirmar seu nome e cargo.
Guy Krief, CEO da Upstream, disse que os usuários que baixaram e abriram o VidMate “entregaram o controle dos seus telefones e das suas informações pessoais para terceiros".
"O telefone e a sua conexão se tornaram parte de um botnet e são utilizados para cometer fraudes de anúncios às custas do dono... e da sua privacidade", disse ele. A suposta fraude de anúncios a que ele se refere ocorre no VidMate quando o app exibe anúncios que os usuários não podem ver.
Durante os últimos seis meses, a Upstream bloqueou mais de 128 milhões de transações suspeitas feitas pelo app do VidMate que poderiam ter custado a usuários no Brasil, no Egito, em Mianmar e em outros países mais de US$ 150 milhões em assinaturas móveis não desejadas e não autorizadas, de acordo com a empresa. Só no Brasil foram 21 milhões de transações suspeitas bloqueadas.
A Upstream disse que começou a bloquear essas transações logo em 2017 e viu o volume delas aumentar drasticamente no fim do ano passado. O desenvolvimento e a propriedade do VidMate eram da UCWeb, uma subsidiária da Alibaba, antes de o app ser vendido no ano passado.
Um porta-voz do VidMate que usou o nome Jiatao Chen no Skype disse ao BuzzFeed News que leva as conclusões da Upstream a sério e pôs a culpa de qualquer comportamento alegadamente suspeito em kits de desenvolvimento de software (SDKs) e parceiros.
"Não só não programamos esse tipo de prática no núcleo do nosso app como também temos uma política de tolerância zero com isso, porque é do interesse do VidMate proteger os nossos usuários contra tais práticas prejudiciais", disse ele.
Chen disse que o VidMate já encerrou o seu relacionamento com um parceiro que foi citado no relatório da Upstream e continua as investigações.
A UCWeb e o VidMate disseram ao BuzzFeed News que o app e suas marcas foram vendidas para uma nova entidade, a Guangzhou Nemo Fish Technology Co., em 2018. Eles disseram que as empresas mantêm um relacionamento profissional, mas são separadas.
"Desde a nossa redução de ativos no ano passado, nós mantivemos uma colaboração profissional com o VidMate, assim como tivemos com outros apps com os quais estamos trabalhando. Nós não estamos envolvidos em nenhuma das operações do VidMate", disse um porta-voz da UCWeb por e-mail.
Chen descreveu a Nemo Fish como uma startup, mas se recusou a citar os nomes de seus executivos ou acionistas durante uma entrevista e não respondeu aos questionamentos seguintes. Um segundo porta-voz do VidMate entrou em contato mais tarde com o BuzzFeed News por e-mail para repetir boa parte do que Chen disse, além de questionar a metodologia e as conclusões da Upstream.
Apesar de não ser claro quem exatamente é o proprietário e opera o VidMate agora, Krief disse que sua empresa começou a bloquear transações suspeitas do VidMate bem antes de a UCWeb vender o app.
"Nós vimos alguns volumes pequenos iniciais de solicitações de transações suspeitas em outubro de 2017, e elas aumentaram progressivamente até abril de 2018, quando elas então começaram a estar em uma escala diferente", disse ele.
O porta-voz da UCWeb disse em uma declaração enviada por e-mail que a empresa não pode responder sem ver mais detalhes e dados.
"Até agora, a Upstream não entrou em contato conosco ou nos forneceu as informações nas quais as afirmações deles são baseadas. Com base nisso, é impossível que nós avaliemos as suposições deles", dizia a declaração. "No geral, a UC sempre procura oferecer uma experiência de usuário segura, livre de riscos e agradável e tem regras e regulamentos rígidos em vigor para garantir isso."
Krief diz que o ecossistema do Android se combina com a publicidade digital, criando uma oportunidade enorme para fraudadores.
"A natureza aberta do Android permite a ampla distribuição de malware móvel. E a complexidade da publicidade digital aumenta o poder dos fraudadores — é um playground mundial com baixos riscos e altos incentivos", disse ele.
A Upstream identificou os problemas com o VidMate ao fornecer serviços de segurança para operadoras de telefonia em 18 países, principalmente países em desenvolvimento. A empresa monitora as atividades nas redes das operadoras em busca de fraudes de anúncios, malware e outras vulnerabilidades e conduz investigações quando detecta um padrão de atividade.
O VidMate "foi o número 1 em termos de tentativas de bloqueio durante os últimos seis meses" entre todos os apps nas redes que a Upstream monitora, disse Krief.
A empresa de segurança também recebeu reclamações de usuários que disseram que seus telefones estavam se comportando de forma estranha e, às vezes, realizando assinaturas pagas sem o conhecimento deles. A Upstream adquiriu e monitorou três telefones que tinham o VidMate instalado. Ela logo detectou que o VidMate estava baixando e instalando sorrateiramente um kit de desenvolvimento de software de uma entidade chamada Mango que carregava anúncios escondidos e assinava usuários em serviços pagos secretamente.
A atividade suspeita frequentemente ocorria enquanto a tela do telefone estava bloqueada e fora de uso, de acordo com Krief.
Ambos os porta-vozes do VidMate disseram que o SDK da Mango foi feito por uma empresa chinesa associada ao VidMate. Nenhum respondeu ao pedido do nome e das informações de contato da empresa.
"A nossa equipe de tecnologia já está realizando uma análise detalhada desse SDK. Se esse SDK realmente está realizando fraude de anúncios, o VidMate encerrará o relacionamento e adicionará essa empresa em uma lista negra", disse o porta-voz.
A Upstream alega que as atividades não autorizadas no VidMate devoraram uma quantidade enorme de dados móveis — mais de 3 gigabytes por mês, o que a Upstream estima que poderia custar US$ 100 por ano.
O VidMate também coletou informações pessoais sem notificar o usuário. Esses dados, que incluem um número único associado ao telefone de uma pessoa e seu endereço IP, estavam sendo enviados para servidores em Cingapura pertencentes à Nonolive, uma plataforma de transmissão para gamers fundada pela Alibaba.
Chen, o porta-voz do VidMate, disse ao BuzzFeed News que encerrou o seu relacionamento com a Nonolive depois de descobrir o "abuso de informações de usuários".
Este post foi traduzido do inglês.