Die beiden Apps, "Fitness Balance App" und "Calories Tracker App", haben die Benutzer zu Zahlungen von 120 Dollar verleitet.
Zwei Apps, die sich als Fitness-Verfolgungs-Tools ausgaben, nutzten tatsächlich Apples Touch-ID-Funktion, um Geld von unscheinbaren iOS-Opfern zu plündern.
Die beiden betroffenen Apps waren die "Fitness Balance App" und die "Calories Tracker App". Beide Apps sahen normal aus und dienten Funktionen wie die Berechnung des BMI, die Verfolgung der täglichen Kalorienzufuhr oder die Erinnerung an das Wassertrinken; und beide erhielten gute Bewertungen im iOS-Store. Laut Reddit-Benutzern und Forschern von ESET stehlen die Apps jedoch Geld - fast 120 Dollar von jedem Opfer - dank eines hinterhältigen Popup-Tricks mit der Apple TouchID-Funktion.
Laut erhitzten Opfern, die sich bei Reddit beschwert haben, fordert die App nach dem Start eines Benutzers einen Fingerabdruckscan an, der die Benutzer auffordert, "ihren persönlichen Kalorien-Tracker und ihre Ernährungsempfehlungen anzuzeigen". Nachdem die Benutzer TouchID verwendet haben, zeigt die App dann ein Popup, das eine Zahlung von 119,99 $ bestätigt. Das Popup ist nach Angaben der Benutzer nur für eine Sekunde sichtbar.
"Wenn der Benutzer jedoch eine Kredit- oder Debitkarte hat, die direkt mit seinem Apple-Account verbunden ist, gilt die Transaktion als verifiziert und das Geld wird an den Betreiber hinter diesen Betrügereien überwiesen", sagte Lukas Stefanko, Malware-Analyst bei ESET Security, in einem Montag-Beitrag zu dem Betrug.
Dieses Pop-up ist hartnäckig: "Wenn Benutzer sich weigern, ihren Finger in der 'Fitness Balance App' zu scannen, wird ein weiteres Pop-up angezeigt, das sie auffordert, auf die Schaltfläche 'Weiter' zu tippen, um die App zu nutzen. Wenn sie dem zustimmen, versucht die App, den fragwürdigen Zahlungsvorgang zu wiederholen", so Stefanko.
Was die Apps noch schwieriger macht, da die Fitness Balance App mehrere 5-Sterne-Bewertungen sowie eine durchschnittliche Bewertung von 4,3 Sternen hatte, sagte Stefanko. Die App hatte mindestens 18 überwiegend positive Nutzerbewertungen. "Gefälschte Bewertungen zu posten ist eine bekannte Technik, die von Betrügern benutzt wird, um den Ruf ihrer Apps zu verbessern", sagte er.
Als die Opfer versuchten, die Apps zu erreichen, um eine Rückerstattung zu beantragen, gaben die Apps eine allgemeine Antwort, die versprach, die Probleme in der kommenden Version 1.1 zu beheben. Stefanko sagte, dass beide Apps von Apple entfernt worden seien. Wahrscheinlich stehe hinter beiden derselbe Entwickler, sagte er.
Stefanko spekulierte jedoch, dass in Zukunft noch mehr Anwendungen mit einem ähnlichen Betrug auftauchen könnten: "Ich denke, es könnte noch mehr Anwendungen geben, da der Betrug einfach implementiert ist", sagte er gegenüber Threatpost. Apple reagierte nicht auf eine Anfrage von Threatpost nach einem Kommentar.
Apple ist für seine strengen Richtlinien bei der Überprüfung von Apps im iOS-Store bekannt, doch hat das Unternehmen in der Vergangenheit Probleme mit dem Datenschutz und der Verletzung der Sicherheit von Apps gehabt.
Anfang September hat Apple beispielsweise eine hoch bewertete Anwendung, den Adware Doctor, aus seinem offiziellen Mac App Store entfernt, nachdem Forscher öffentlich enthüllt hatten, dass die Anwendung gegen Apples Sandboxing-Sicherheitsrichtlinien verstößt. Das Unternehmen ergriff auch Maßnahmen gegen eine Reihe verschiedener MacOS-Anwendungen, die ebenfalls Browser-Historiendaten sammelten.
Auch Apps im Android-Store wurden für Probleme verantwortlich gemacht - so behaupteten Forscher kürzlich, dass sieben Android-Apps (sowie eine von einer Firma namens Kika Tech) im Rahmen eines "Click-Injection"-Programms Millionen von Dollar gestohlen hätten.
Es gibt keinen einfachen Weg, um nach bösartigen Anwendungen zu suchen, insbesondere weil Apple keine Antiviren-Tools für ihren Laden zulässt, sagte Stefanko gegenüber Threatpost. Die Nutzer ihrerseits könnten jedoch zusätzliche Vorsichtsmaßnahmen treffen, indem sie die Bewertungen anderer Nutzer lesen, sagte er.
"Da Apple keine Sicherheitsprodukte in seinem App Store erlaubt, müssen sich die Benutzer auf die von Apple implementierten Sicherheitsmaßnahmen verlassen", sagte er.