Специалист компании ESET Лукаш Стефанко (Lukas Stefanko), который часто обнаруживает малварь в официальном каталоге приложений для Android, на этот раз рассказал о двух вредоносных приложениях в App Store.
Мошеннические приложения назывались Fitness Balance и Calories Tracker, и оба демонстрировали похожее поведение, которое можно увидеть в роликах, опубликованных пострадавшими пользователями на Reddit (1, 2), а также в примере опубликованном самим Стефанко.
Scam iOS apps has been found on Apple App Store tricking users to pay over $100
— Lukas Stefanko (@LukasStefanko) December 3, 2018
Apps ask for fingerprint right at the moment when paying pop-up shows, which is accepted by user fingerprint.https://t.co/7WwT6bhsLF pic.twitter.com/BYZvd7p0VD
После установки, при первом же запуске, приложения просили своих жертв приложить палец к сканеру TouchID якобы для завершения настройки. На самом деле, как только пользователь предоставлял приложению свой отпечаток, он тем самым подтверждал платеж через TouchID в размере 99, 99, 119,99 или 139.99 долларов США. Если пользователь отказывался, приложение попросту не запускалось.
Разумеется, для осуществления платежа к App Store должна была быть привязана платежная карта, и у пользователя должно было хватать средств. Кроме того, в безопасности были владельцы iPhone X, у которых есть защитная функция Double Click to Pay.
При этом исследователь пишет, что оба приложения явно были сделаны на скорую руку. Так, после подтверждения платежа они попросту закрывались и пропадали с экрана, даже не пытаясь маскироваться и имитировать работу. Но оба вредоносных решения имели хороший рейтинг. К примеру, Стефанко отметил, что рейтинг Fitness Balance равен 4,3 и у приложения множество отзывов с 5 звездами. Эксперт объясняет, что большинство отзывов попросту были фальшивыми. Пример можно увидеть ниже.
Пострадавшие пользователи рассказывают на Reddit, что попытки связаться с разработчиком приложений ни к чему не привели. В ответ на все жалобы приходил лишь автоматический ответ, гласящий, что автору известно об описанной «ошибке», и она будет исправлена с выходом новой версии.
В настоящее время оба приложения уже удалены из App Store, а пострадавшим пользователям рекомендуется связаться с поддержкой Apple и потребовать возврата списанных средств.