惡意iOS APP偽裝成健身APP從iPhone和iPad設備偷錢
研究人員近期發現多個偽裝成健身工具的iOS APP,這些APP誤用Apple設備Touch ID特徵來從iOS用戶賬戶中偷錢。App使用了一種巧妙的支付方式,即讓受害者為了健身作用而掃描指紋。
惡意軟體活動
有許多APP都說可以幫助用戶塑造更健康的生活方式。研究人員在Apple APP Store中發現兩款假冒健身的APP,分別是Fitness Balance app和Calories Tracker app。第一眼看上去像是一個健身的APP,比如會計算用於BMI、追蹤每日卡路里攝入量、提醒用戶多喝水等。
但這些服務背後的成本都很高。當用戶首次使用前面提到這兩款APP時,APP會請求掃描指紋來查看個人卡路里跟蹤和飲食建議,如圖1所示。但當用戶把手指放在指紋掃描器上後,APP會彈出一個支付窗口,分別是99.99、119.99和139.99歐元,如圖2所示。
如果用戶的Apple賬戶上綁定了銀行卡,這個彈出窗口就只會顯示一秒,交易馬上就會確認,並且錢會被轉到背後的運營者賬戶中。
根據用戶介面和功能分析,這兩個APP應該是同一個開發者開發的。
圖1 –Apple App Store中要求用戶掃描指紋的健身APP
圖2 –Fitness Balance app和Calories Tracker app彈出的支付窗口
如果用戶拒絕在Fitness Balance app中掃描指紋,就會出現另一個彈出窗口,讓用戶點擊continue按鈕才能使用APP。如果用戶同意,APP會重複剛才的支付步驟。
雖然Fitness Balance app是惡意的,但是仍然收到了許多個5星好評,平均得分4.3星,而且最近有18個用戶的正面評價。攻擊者發布虛假評論也是提高APP聲譽常用的一種方式。
受害者也將這些APP的情況報告給了apple,並要求從APP store中移除。甚至有用戶直接聯繫了Fitness Balance app的開發者,都只收到會在下一個版本v1.1中修復報告的問題,如圖3所示。
圖3 – 用戶聯繫惡意軟體開發者得到的回復
如何應對此類風險?
Apple不允許App Store中有安全產品,因此用戶智能依賴APPLE自己的實現的安全措施。
ESET研究人員建議用戶在下載APP前多看看負面評論,因為負面評論更真實。
iPhone X用戶可以激活蘋果的雙擊支付(Double Click to Pay)新特徵,該特徵要求用戶雙擊側鍵來確認支付信息,如圖4所示。
圖4 –iPhone X中的雙擊支付確認
如果已經是攻擊活動的受害者了,可以嘗試要求Apple App Store進行賠償。
※小心被你敲鍵盤的聲音出賣
※如何利用Mozilla Firefox的合法功能執行操作系統命令
TAG:嘶吼RoarTalk |