Ho visto un'app di gioco Android 2 Gingerbread PoC in cui dovevi toccare gli oggetti in movimento. Il trucco era che dopo aver toccato alcuni oggetti, l'app chiamava la pagina delle impostazioni in cui si trovano le "fonti sconosciute". Il prossimo oggetto da toccare era proprio dove appariva la casella di controllo in modo da indurre l'utente a toccarlo. Quindi il gioco si sarebbe focalizzato su se stesso, quindi il trucco era appena percettibile.
Android 4 consente ancora alle app di visualizzare le pagine delle impostazioni (l'app Maps fa apparire la schermata delle impostazioni GPS) ma ha aggiunto un messaggio di conferma per quando si autorizzano le fonti sconosciute. Questo messaggio di conferma sarebbe comunque vulnerabile allo stesso trucco ma sarebbe più evidente.
Il nome dell'APK sopra riportato suggerisce un trucco di ingegneria sociale per consentire all'utente di installare l'APK su un telefono che, si spera, abbia selezionato l'opzione "Consenti l'installazione di app non di mercato" (ovvero "Origini sconosciute"). Ma una app di Play Store legittima può indurre un utente a consentire l'accesso a fonti sconosciute e quindi a dirigere verso un sito simile a quello menzionato in questa domanda.
Questo tipo di attacchi blended sono reali ma non causano compromessi su larga scala degni dell'attenzione dei media .... fino a quando rubare 36 milioni di euro .
