惡意iOS APP偽裝成健身APP從iPhone和iPad設備偷錢

研究人員近期發現多個偽裝成健身工具的iOS APP，這些APP誤用Apple設備Touch ID特徵來從iOS用戶賬戶中偷錢。App使用了一種巧妙的支付方式，即讓受害者為了健身作用而掃描指紋。

惡意軟體活動

有許多APP都說可以幫助用戶塑造更健康的生活方式。研究人員在Apple APP Store中發現兩款假冒健身的APP，分別是Fitness Balance app和Calories Tracker app。第一眼看上去像是一個健身的APP，比如會計算用於BMI、追蹤每日卡路里攝入量、提醒用戶多喝水等。

但這些服務背後的成本都很高。當用戶首次使用前面提到這兩款APP時，APP會請求掃描指紋來查看個人卡路里跟蹤和飲食建議，如圖1所示。但當用戶把手指放在指紋掃描器上後，APP會彈出一個支付窗口，分別是99.99、119.99和139.99歐元，如圖2所示。

如果用戶的Apple賬戶上綁定了銀行卡，這個彈出窗口就只會顯示一秒，交易馬上就會確認，並且錢會被轉到背後的運營者賬戶中。

根據用戶介面和功能分析，這兩個APP應該是同一個開發者開發的。

圖1 –Apple App Store中要求用戶掃描指紋的健身APP

圖2 –Fitness Balance app和Calories Tracker app彈出的支付窗口

如果用戶拒絕在Fitness Balance app中掃描指紋，就會出現另一個彈出窗口，讓用戶點擊continue按鈕才能使用APP。如果用戶同意，APP會重複剛才的支付步驟。

雖然Fitness Balance app是惡意的，但是仍然收到了許多個5星好評，平均得分4.3星，而且最近有18個用戶的正面評價。攻擊者發布虛假評論也是提高APP聲譽常用的一種方式。

受害者也將這些APP的情況報告給了apple，並要求從APP store中移除。甚至有用戶直接聯繫了Fitness Balance app的開發者，都只收到會在下一個版本v1.1中修復報告的問題，如圖3所示。

圖3 – 用戶聯繫惡意軟體開發者得到的回復

如何應對此類風險？

Apple不允許App Store中有安全產品，因此用戶智能依賴APPLE自己的實現的安全措施。

ESET研究人員建議用戶在下載APP前多看看負面評論，因為負面評論更真實。

iPhone X用戶可以激活蘋果的雙擊支付（Double Click to Pay）新特徵，該特徵要求用戶雙擊側鍵來確認支付信息，如圖4所示。

圖4 –iPhone X中的雙擊支付確認

如果已經是攻擊活動的受害者了，可以嘗試要求Apple App Store進行賠償。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！