Следующая новость
Предыдущая новость

Два приложения для iOS обманом вынуждали пользователей платить через TouchID

04.12.2018 23:06
Два приложения для iOS обманом вынуждали пользователей платить через TouchID

Специалист компании ESET Лукаш Стефанко (Lukas Stefanko), который часто обнаруживает малварь в официальном каталоге приложений для Android, на этот раз рассказал о двух вредоносных приложениях в App Store.

Мошеннические приложения назывались Fitness Balance и Calories Tracker, и оба демонстрировали похожее поведение, которое можно увидеть в роликах, опубликованных пострадавшими пользователями на Reddit (1, 2), а также в примере опубликованном самим Стефанко.

Scam iOS apps has been found on Apple App Store tricking users to pay over $100

Apps ask for fingerprint right at the moment when paying pop-up shows, which is accepted by user fingerprint.https://t.co/7WwT6bhsLF pic.twitter.com/BYZvd7p0VD

— Lukas Stefanko (@LukasStefanko) December 3, 2018

После установки, при первом же запуске, приложения просили своих жертв приложить палец к сканеру TouchID якобы для завершения настройки. На самом деле, как только пользователь предоставлял приложению свой отпечаток, он тем самым подтверждал платеж через TouchID в размере 99, 99, 119,99 или 139.99 долларов США. Если пользователь отказывался, приложение попросту не запускалось.

Разумеется, для осуществления платежа к App Store должна была быть привязана платежная карта, и у пользователя должно было хватать средств. Кроме того, в безопасности были владельцы iPhone X, у которых есть защитная функция Double Click to Pay.

При этом исследователь пишет, что оба приложения явно были сделаны на скорую руку. Так, после подтверждения платежа они попросту закрывались и пропадали с экрана, даже не пытаясь маскироваться и имитировать работу. Но оба вредоносных решения имели хороший рейтинг. К примеру, Стефанко отметил, что рейтинг Fitness Balance равен 4,3 и у приложения множество отзывов с 5 звездами. Эксперт объясняет, что большинство отзывов попросту были фальшивыми. Пример можно увидеть ниже.

Два приложения для iOS обманом вынуждали пользователей платить через TouchID

Пострадавшие пользователи рассказывают на Reddit, что попытки связаться с разработчиком приложений ни к чему не привели. В ответ на все жалобы приходил лишь автоматический ответ, гласящий, что автору известно об описанной «ошибке», и она будет исправлена с выходом новой версии.

Два приложения для iOS обманом вынуждали пользователей платить через TouchID

В настоящее время оба приложения уже удалены из App Store, а пострадавшим пользователям рекомендуется связаться с поддержкой Apple и потребовать возврата списанных средств.

Источник

Последние новости