研究人员近期发现多个伪装成健身工具的iOS APP，这些APP误用Apple设备Touch ID特征来从iOS用户账户中偷钱。App使用了一种巧妙的支付方式，即让受害者为了健身作用而扫描指纹。

恶意软件活动

有许多APP都说可以帮助用户塑造更健康的生活方式。研究人员在Apple APP Store中发现两款假冒健身的APP，分别是Fitness Balance app和Calories Tracker app。第一眼看上去像是一个健身的APP，比如会计算用于BMI、追踪每日卡路里摄入量、提醒用户多喝水等。

但这些服务背后的成本都很高。当用户首次使用前面提到这两款APP时，APP会请求扫描指纹来查看个人卡路里跟踪和饮食建议，如图1所示。但当用户把手指放在指纹扫描器上后，APP会弹出一个支付窗口，分别是99.99、119.99和139.99欧元，如图2所示。

如果用户的Apple账户上绑定了银行卡，这个弹出窗口就只会显示一秒，交易马上就会确认，并且钱会被转到背后的运营者账户中。

根据用户接口和功能分析，这两个APP应该是同一个开发者开发的。

图1 –Apple App Store中要求用户扫描指纹的健身APP

图2 –Fitness Balance app和Calories Tracker app弹出的支付窗口

如果用户拒绝在Fitness Balance app中扫描指纹，就会出现另一个弹出窗口，让用户点击continue按钮才能使用APP。如果用户同意，APP会重复刚才的支付步骤。

虽然Fitness Balance app是恶意的，但是仍然收到了许多个5星好评，平均得分4.3星，而且最近有18个用户的正面评价。攻击者发布虚假评论也是提高APP声誉常用的一种方式。

受害者也将这些APP的情况报告给了apple，并要求从APP store中移除。甚至有用户直接联系了Fitness Balance app的开发者，都只收到会在下一个版本v1.1中修复报告的问题，如图3所示。

图3 – 用户联系恶意软件开发者得到的回复

如何应对此类风险？

Apple不允许App Store中有安全产品，因此用户智能依赖APPLE自己的实现的安全措施。

ESET研究人员建议用户在下载APP前多看看负面评论，因为负面评论更真实。

iPhone X用户可以激活苹果的双击支付（Double Click to Pay）新特征，该特征要求用户双击侧键来确认支付信息，如图4所示。

图4 –iPhone X中的双击支付确认

如果已经是攻击活动的受害者了，可以尝试要求Apple App Store进行赔偿。

本文翻译自：https://www.welivesecurity.com/2018/12/03/scam-ios-apps-promise-fitness-steal-money-instead/

翻译作者：ang010ela 原文地址：  http://www.4hou.com/mobile/14938.html