Мошеннические фитнес-приложения снимали деньги с помощью Touch ID

Apple удалила пару поддельных фитнес-приложений из своего App Store после того, как они обманули пользователей в совершении дорогостоящих покупок с помощью функции биометрической идентификации Touch ID.

Обе вредоносные программы, Calories Tracker и Fitness Balance, предлагали жертвам по отпечаткам пальцев просмотреть их персонализированные рекомендации по калорийности и рекомендации по диете. Но на самом деле сканирование использовалось для проверки платежа в размере $99,99 или более.


Приложения показывали эти платежи в всплывающем окне, которое появлялось примерно на одну секунду, после чего сразу же исчезало. «Если у пользователей была кредитная или дебетовая карта, напрямую связанная с их учётной записью Apple, транзакция считалась подтвержденной, а деньги переводились мошенникам», - пишет исследователь ESET Лукас Стефанко, который подробно описал мошенничество в блоге компании, ссылаясь на жалобы пользователей с ресурса Reddit.


Сообщается, что приложение Fitness Balance не принимало «нет» для ответа. Если пользователь не сканировал свой палец, в приложении отображалось другое всплывающее окно с кнопкой «Продолжить». Нажатие этой кнопки возобновляло процесс, повторяя попытку приложения принудительно провести платёж с помощью Touch ID.

Самое неприятное то, что приложение Fitness Balance даже получило многочисленные рейтинги в пять звезд и по крайней мере 18 положительных отзывов, но, предположительно, они были добавлены мошенниками в целях повышения доверия к их детищу-вымогателю.

Источник: welivesecurity.com