导语:研究人员在APPLE APP store中发现多个伪装为健身APP的恶意应用,恶意应用要求用户扫描指纹信息,当用户扫描指纹时会启动支付,窃取用户钱财。

研究人员近期发现多个伪装成健身工具的iOS APP,这些APP误用Apple设备Touch ID特征来从iOS用户账户中偷钱。App使用了一种巧妙的支付方式,即让受害者为了健身作用而扫描指纹。

恶意软件活动

有许多APP都说可以帮助用户塑造更健康的生活方式。研究人员在Apple APP Store中发现两款假冒健身的APP,分别是Fitness Balance app和Calories Tracker app。第一眼看上去像是一个健身的APP,比如会计算用于BMI、追踪每日卡路里摄入量、提醒用户多喝水等。

但这些服务背后的成本都很高。当用户首次使用前面提到这两款APP时,APP会请求扫描指纹来查看个人卡路里跟踪和饮食建议,如图1所示。但当用户把手指放在指纹扫描器上后,APP会弹出一个支付窗口,分别是99.99、119.99和139.99欧元,如图2所示。

如果用户的Apple账户上绑定了银行卡,这个弹出窗口就只会显示一秒,交易马上就会确认,并且钱会被转到背后的运营者账户中。

根据用户接口和功能分析,这两个APP应该是同一个开发者开发的。

Scam iOS apps

图1 –Apple App Store中要求用户扫描指纹的健身APP

Scam iOS apps

图2 –Fitness Balance app和Calories Tracker app弹出的支付窗口

如果用户拒绝在Fitness Balance app中扫描指纹,就会出现另一个弹出窗口,让用户点击continue按钮才能使用APP。如果用户同意,APP会重复刚才的支付步骤。

虽然Fitness Balance app是恶意的,但是仍然收到了许多个5星好评,平均得分4.3星,而且最近有18个用户的正面评价。攻击者发布虚假评论也是提高APP声誉常用的一种方式。

受害者也将这些APP的情况报告给了apple,并要求从APP store中移除。甚至有用户直接联系了Fitness Balance app的开发者,都只收到会在下一个版本v1.1中修复报告的问题,如图3所示。

Scam iOS apps

图3 – 用户联系恶意软件开发者得到的回复

如何应对此类风险?

Apple不允许App Store中有安全产品,因此用户智能依赖APPLE自己的实现的安全措施。

ESET研究人员建议用户在下载APP前多看看负面评论,因为负面评论更真实。

iPhone X用户可以激活苹果的双击支付(Double Click to Pay)新特征,该特征要求用户双击侧键来确认支付信息,如图4所示。

Scam iOS apps

图4 –iPhone X中的双击支付确认

如果已经是攻击活动的受害者了,可以尝试要求Apple App Store进行赔偿。

源链接

Hacking more

...