ESET scopre sull’App Store una serie di applicazioni legate al mondo del benessere e del fitness che contiene un meccanismo di pagamento ingannevole.
Fitness Balance e Calories Tracker si presentavano come strumenti di monitoraggio del fitness ma, tramite la funzionalità Touch ID di Apple, rubano denaro agli utenti iOS.
Queste App per gli utenti iPhone e iPad, in realtà contengono un sistema di pagamento attivato mentre le vittime eseguivano la scansione delle impronte digitali.
Secondo l’analisi dei ricercatori di ESET, dopo che l’ignaro utente ha avviato per la prima volta una delle app sopra menzionate, viene richiesta una scansione delle impronte digitali per usufruire dei servizi di monitoraggio del fitness. Solo pochi istanti dopo la scansione delle impronte digitali, le app visualizzano un pop-up che mostra un pagamento ingannevole pari a 99,99, 119,99 dollari o 139,99 euro.
Questo pop-up è visibile solo per poco, circa un secondo, ma se l’utente ha una carta di credito o di debito direttamente connessa al proprio account Apple, la transazione viene considerata verificata e il denaro è trasferito automaticamente al cyber criminale dietro questa truffa.
Se gli utenti rifiutano di effettuare la scansione delle impronte, viene visualizzato un altro popup che chiede di toccare un pulsante “Continua” per poter utilizzare l’app. In questo modo l’app tenta di ripetere la procedura di pagamento dubbia.
Nonostante la sua natura malevola, l’app Fitness Balance ha ricevuto numerose valutazioni a 5 stelle, ottenendo una valutazione media di 4,3 stelle, registrando almeno 18 recensioni per lo più positive. Questo conferma che pubblicare recensioni false è una tecnica ben nota utilizzata dagli scammer per migliorare la reputazione delle loro app.
Le vittime hanno già segnalato entrambe queste app ad Apple, che ha portato alla loro rimozione dall’App Store. Gli utenti hanno persino provato a contattare direttamente lo sviluppatore di Fitness Balance, ricevendo solo una risposta generica con una promessa di correzione dei “problemi” segnalati nella versione 1.1 dell’applicazione.
ESET consiglia di leggere sempre le recensioni di altri utenti. Poiché il feedback positivo è facilmente falso, come in questo caso, le recensioni negative hanno maggiori probabilità di rivelare la vera natura dell’app.
Gli utenti di iPhone X possono inoltre attivare una funzione aggiuntiva chiamata “Double Click to Pay”, che richiede loro di fare doppio clic sul pulsante laterale per verificare un pagamento.