导语:研究人员在APPLE APP store中发现多个伪装为健身APP的恶意应用,恶意应用要求用户扫描指纹信息,当用户扫描指纹时会启动支付,窃取用户钱财。
研究人员近期发现多个伪装成健身工具的iOS APP,这些APP误用Apple设备Touch ID特征来从iOS用户账户中偷钱。App使用了一种巧妙的支付方式,即让受害者为了健身作用而扫描指纹。
恶意软件活动
有许多APP都说可以帮助用户塑造更健康的生活方式。研究人员在Apple APP Store中发现两款假冒健身的APP,分别是Fitness Balance app和Calories Tracker app。第一眼看上去像是一个健身的APP,比如会计算用于BMI、追踪每日卡路里摄入量、提醒用户多喝水等。
但这些服务背后的成本都很高。当用户首次使用前面提到这两款APP时,APP会请求扫描指纹来查看个人卡路里跟踪和饮食建议,如图1所示。但当用户把手指放在指纹扫描器上后,APP会弹出一个支付窗口,分别是99.99、119.99和139.99欧元,如图2所示。
如果用户的Apple账户上绑定了银行卡,这个弹出窗口就只会显示一秒,交易马上就会确认,并且钱会被转到背后的运营者账户中。
根据用户接口和功能分析,这两个APP应该是同一个开发者开发的。
图1 –Apple App Store中要求用户扫描指纹的健身APP
图2 –Fitness Balance app和Calories Tracker app弹出的支付窗口
如果用户拒绝在Fitness Balance app中扫描指纹,就会出现另一个弹出窗口,让用户点击continue按钮才能使用APP。如果用户同意,APP会重复刚才的支付步骤。
虽然Fitness Balance app是恶意的,但是仍然收到了许多个5星好评,平均得分4.3星,而且最近有18个用户的正面评价。攻击者发布虚假评论也是提高APP声誉常用的一种方式。
受害者也将这些APP的情况报告给了apple,并要求从APP store中移除。甚至有用户直接联系了Fitness Balance app的开发者,都只收到会在下一个版本v1.1中修复报告的问题,如图3所示。
图3 – 用户联系恶意软件开发者得到的回复
如何应对此类风险?
Apple不允许App Store中有安全产品,因此用户智能依赖APPLE自己的实现的安全措施。
ESET研究人员建议用户在下载APP前多看看负面评论,因为负面评论更真实。
iPhone X用户可以激活苹果的双击支付(Double Click to Pay)新特征,该特征要求用户双击侧键来确认支付信息,如图4所示。
图4 –iPhone X中的双击支付确认
如果已经是攻击活动的受害者了,可以尝试要求Apple App Store进行赔偿。