Várias aplicações que se fazem passar por sistemas para acompanharem o exercício físico foram apanhadas a utilizar indevidamente a funcionalidade Touch ID da Apple para roubar dinheiro aos utilizadores do iOS.
As vítimas são enganadas de uma forma bastante simples. Enquanto pensam que estão a utilizar a impressão digital, vulgarmente conhecida por Touch ID no mundo Apple, para acederem às aplicações de Fitness, estão a fornecer estes dados a criminosos.
Existem muitas aplicações que prometem ajudar os utilizadores a obterem um estilo de vida mais saudável. Estas aplicações falsas estavam, até às últimas semanas, disponíveis na Apple App Store. As aplicações em questão chamam-se “app Fitness Balance” e “app Calories Tracker”.
À primeira vista estas apps parecem colocar num bom caminho. Podem calcular o IMC, acompanhar a ingestão diária de calorias ou lembrar os utilizadores de beberem mais água. Estes serviços, no entanto, vieram com um preço muito alto, segundo os utilizadores do Reddit.
Assim que um utilizador aciona qualquer uma das aplicações pela primeira vez, elas solicitam a impressão digital para efeitos de personalização. Depois disso, estas apps abrem um pop-up com um pagamento duvidoso no valor de 99,99, 119,99 USD ou 139,99 EUR.
Este pop-up só é visível durante cerca de um segundo. No entanto, se o utilizador tiver um cartão de crédito ou débito ligado diretamente à conta Apple, a transação é considerada verificada e o dinheiro é passado para o criminoso.
Com base na interface de utilizador e funcionalidades, as duas aplicações são criadas provavelmente pelo mesmo programador.
Imagem 1 – Aplicações fraudulentas na App Store da Apple exigem que os utilizadores utilizem a impressão digital para efeitos de monitorização dos elementos de saúde. (Fonte da imagem: Reddit)
Imagem 2 – Pagamento fraudolento a aparecer na “App Fitness Balance” e “Calories Tracker app” (Fonte da imagem: Reddit)
Se os utilizadores se recusarem a colocar o dedo na aplicação “Fitness Balance”, será exibido outro pop-up solicitando que toque no botão “Continuar” para poder usar a app. Se eles cumprirem, a app vai tentar repetir o procedimento de pagamento malicioso.
Apesar da sua natureza perigosa, a “app Fitness Balance” recebeu várias avaliações de 5 estrelas, teve uma classificação média de 4,3 estrelas e teve direito a pelo menos 18 avaliações positivas. Como eventualmente sabe, colocar avaliações falsas é uma técnica bem conhecida utilizada pelos criminosos para melhorarem a reputação das suas aplicações.
As vítimas, entretanto, relataram estas duas aplicações à Apple, o que levou à sua remoção desta loja online Os utilizadores chegaram a entrar em contato direto com o programador da app “Fitness Balance”, mas receberam apenas uma resposta genérica que prometia corrigir os “problemas” reportados na próxima versão 1.1 (Figura 3).
Imagem 3 – os utilizadores que contataram diretamente o programador receberam o que parece ser uma resposta automática
O que os utilizadores podem fazer para evitar ameaças semelhantes?
Como a Apple não permite produtos de segurança na sua App Store, os utilizadores necessitam de confiar nas medidas de segurança implementadas por este fabricante.
Além disso, a ESET aconselha os utilizadores a contarem opiniões de outros utilizadores. Como o feedback positivo é facilmente falsificado, os comentários negativos são mais propensos a revelar a verdadeira natureza das apps.
Entretanto os possuidores do iPhone X também podem ativar uma funcionalidade adicional chamada “Double Click to Pay”, que exige que eles cliquem duas vezes no botão lateral (Figura 4) para verificar um pagamento.
Imagem 4 – A função de verificação do botão lateral no iPhone X
Quem foi vítima deste golpe também pode tentar reivindicar um reembolso a partir da Apple Store.