Sono sempre più numerosi, sui marketplace di applicazioni mobile, i software gratuiti che promettono di assistere gli utenti sulla strada di uno stile di vita più sano, tenendo traccia per esempio dei chilometri percorsi durante l’allenamento, monitorando l’apporto calorico giornaliero o ricordando di bere più acqua. Il più delle volte, gli sviluppatori di questi software si sostentano grazie agli annunci pubblicitari in-app o a sottoscrizioni freemium. Ma alcuni, hanno scoperto i ricercatori di Eset (fornitore globale di soluzioni per la sicurezza informatica), hanno come modello di business la frode. Due esempi? Fitness Balance e Calories Tracker, disponibili su App Store.
Secondo Eset, dopo che l’ignaro utente iOs ha avviato per la prima volta una di queste due app, viene richiesta tramite Touch ID una scansione delle impronte digitali per usufruire dei servizi di monitoraggio delle condizioni fisiche. Solo pochi istanti dopo la scansione delle impronte digitali, le app visualizzano un pop-up che mostra un pagamento ingannevole pari a 99,99, 119,99 dollari o 139,99 euro.
Questo pop-up è visibile per circa un secondo, ma se l’utente ha una carta di credito o di debito direttamente connessa al proprio account Apple, la transazione viene considerata verificata e il denaro è trasferito automaticamente al cyber criminale che ha ordito questa truffa.
Se gli utenti rifiutano di effettuare la scansione delle impronte, viene visualizzato un altro pop-up che chiede di toccare un pulsante “Continua” per poter utilizzare l’app. In questo modo l’app tenta di ripetere la procedura di pagamento.
Nonostante la sua natura malevola, l’app Fitness Balance ha ricevuto numerose valutazioni a 5 stelle, ottenendo una valutazione media di 4,3 stelle, registrando almeno 18 recensioni per lo più positive. Questo conferma che pubblicare recensioni false è una tecnica ben nota utilizzata dagli scammer per migliorare la reputazione delle loro app.
Le vittime hanno già segnalato entrambe queste app ad Apple, che ha portato alla loro rimozione dall’App Store. Gli utenti hanno persino provato a contattare direttamente lo sviluppatore di Fitness Balance, ricevendo solo una risposta generica con una promessa di correzione dei “Problemi” segnalati nella versione 1.1 dell’applicazione.
Per evitare minacce simili, Eset consiglia di leggere sempre le recensioni di altri utenti e non soffermarsi alla valutazione media. Poiché il feedback positivo è facilmente falso, come in questo caso, le recensioni negative hanno maggiori probabilità di rivelare la vera natura dell’app.
Gli utenti di iPhone X possono inoltre attivare una funzione aggiuntiva chiamata “Double Click to Pay”, che richiede loro di fare doppio clic sul pulsante laterale per verificare un pagamento.
