В App Store были замечены приложения-вредители, которые крадут деньги пользователей крайне необычным способом. Существование угрозы подтвердили специалисты компании ESET, обнаружившие новую партию вредоносных iOS-приложений нового типа.В ESET заявили о нахождении еще нескольких приложений, использующих новый метод кражи денег у пользователей iPhone и iPad. Вредоносные приложения предлагают пользователям различные возможности, чаще всего связанные с фитнесом.
Два из таких приложений, Fitness Balance и Calories Tracker, действовали по идентичной схеме. Они предлагали пользователям точный расчет необходимого суточного количества воды и калорий по новой формуле. Для выполнения расчета приложения запрашивали у владельцев сканирование отпечатка пальца.
В момент сканирования пальца при помощи Touch ID приложение «случайно» запускало экран с опцией встроенной покупки. В результате этого пользователь моментально подтверждал выполнение покупки и с привязанного к его Apple ID счета списывались деньги. Причем деньги весьма серьезные — около 8 тыс. рублей в случае с приложением Fitness Balance и более 10 тыс. рублей в приложении Calories Tracker.
Специалисты ESET обратили внимание на то, что набор функций и интерфейс приложений были схожими. Это позволило им сделать вывод, что приложения созданы одним разработчиком.
Компания ESET предупредила Apple о вредоносных приложениях и они уже были удалены из App Store. Однако не исключено, что в магазине приложений для iPhone и iPad находится немало аналогичных приложений, которые способны украсть деньги со счетов пользователей.
«Мошеннические приложения – это проблема и для iOS, и для Android, хотя для первой ОС их меньше из-за более закрытой экосистемы», — говорит Джером Сегура, глава отдела по исследованию угроз в компании Malwarebytes. «Однако мошенники часто придумывают хитрые идеи, позволяющие обойти первоначальные проверки. Со временем они обновляют приложения, и подправляют процедуры внутренних покупок – то, где концентрируется большинство проблем».
Хорошая новость состоит в том, что у людей с iPhone X и более новыми моделями таких проблем не будет, прежде всего потому, что у этих моделей нет кнопки «Домой». А для использования Apple Pay через Face ID необходимо дважды нажать на боковую кнопку.
Но более старым айфонам от этого не легче – и этих моделей до сих пор ещё очень много на руках.
Лучшее, что могут сделать владельцы айфонов вплоть до 8-й модели, это оставаться начеку и использовать Touch ID только в приложениях, которым есть причины доверять.
Apple со своей стороны тоже может уменьшить вероятность успеха подобного мошенничества, более строго оценивая приложения или введя дополнительный этап подтверждения для использования Touch ID, хотя такие меры и вызовут дополнительное раздражение. И это, возможно, не будет иметь никакого смысла для Купертино, если только масштаб подобных проблем не увеличится до неприемлимых размеров – особенно в связи с тем, что Touch ID в последний год постепенно выводится из обращения.
«Повторюсь, что удобство и простота использования новых технологий могут обернуться к нам другой стороной», — говорит Сегура. «Подтверждение покупок касанием пальца – процедура беспроблемная, однако, к сожалению, мошенники точно так же просто могут использовать её во вред».