Жертвите бяха привлечени от положителни отзиви и относително високи оценки на приложенията.

iphone

Потребителите на социалната мрежа Reddit посочиха подозрителни приложения, които бяха в официалния Apple App Store. Двойка инструменти, използвани за популяризиране на здравословен начин на живот, тайно се опитаха да откраднат пари от свързана платежна карта.

Повече информация за заплахата публикува порталът Ars Technica.

Положителните оценки бяха стръв

Приложенията „Фитнес баланс“ и „Проследяване на калории“ са създадени специално за любителите на спорта, тъй като те са следили основните атрибути на здравето, като упражнения, фитнес дейности или изгорени калории.

Според охранителната компания Eset те са били в официалния App Store, с няколко 5-звездни оценки и поне 18 положителни отзива. Средната оценка беше 4.3 от 5. На пръв поглед тези фитнес инструменти не предизвикаха никакво подозрение.

Първият път, когато стартирате едно от тези приложения, ще се появи изскачащ прозорец с молба да вземете пръстов отпечатък. Под предлог на персонализация (проследяване на изгорените калории, показване на препоръки за ядене и т.н.), потребителят трябва да се удостовери с пръстовия си отпечатък.

Плащането се подписва с пръстовия отпечатък

След успешна проверка обаче приложението ще се опита да открадне сума от 99,99 до 119,99 долара или 139,99 евро от свързаната кредитна карта. Тук се използва сканиране на пръстови отпечатъци за подписване на плащането, за което потребителят ще научи, когато е твърде късно. Подробна информация за плащане ще се показва само за кратко.

Ако потребителят има платежна карта, свързана с неговия акаунт, транзакцията се счита за потвърдена. Парите незабавно се изпращат на автора на злонамереното приложение - без допълнително потвърждение или удостоверяване.

Като част от демонстрацията, Lukáš Štefanko от Eset публикува видео:

Приложенията вече са премахнати от магазина

Един потребител на Reddit се опита да се свърже с автора на злонамереното приложение. Отговорът обаче вероятно беше само автоматичен, в който разработчикът обеща да поправи „грешката“ в новата версия. Оттогава Apple премахна проблемните приложения. Освен това, според портала Bleeping Computer, всички засегнати хора могат да поискат възстановяване на средства чрез следната връзка.

Предварителните резултати от разследването също дадоха отговор на въпроса как такова злонамерено приложение може да има толкова много положителни потребителски отзиви. Това са фалшиви отзиви, чиято цел е да направи приложението видимо и да създаде впечатлението, че е безопасно и полезно фитнес средство.

И как да се предпазите от подобни заплахи? Потребителите на най-новия iPhone X могат да активират опцията "Double Click to Pay". Други трябва да се откажат от комфорта и единствената опция е да деактивирате Touch ID за iTunes Store и App Store. Инструкции как да направите това можете да намерите в официалната документация на този линк.