Des applications sous iOS pour la mise en forme volent leurs usagers

Plusieurs applications se faisant passer pour des outils de suivi de la condition physique ont été prises en flagrant délit d'utilisation abusive de la fonction Touch ID d'Apple pour voler de l'argent aux utilisateurs iOS. Le mécanisme de paiement douteux utilisé par les applications est activé pendant que les victimes scannent leurs empreintes digitales, apparemment à des fins de suivi de la condition physique.

Il existe de nombreuses applications qui promettent d'aider les utilisateurs en quête d'un mode de vie plus sain. Les fausses applications notées ici étaient, jusqu'à récemment, disponibles dans l'Apple App Store. Les applications s'appelaient « Fitness Balance app » et « Calories Tracker app », et à première vue, elles semblaient mettre les utilisateurs sur la voie du fitness - elles pouvaient calculer leur IMC, suivre leur apport calorique quotidien ou leur rappeler de boire plus d'eau. Ces services, cependant, viennent avec un prix inattendu et élevé, selon des utilisateurs de Reddit.

Après qu'un utilisateur lance l'une des applications susmentionnées pour la première fois, celle-ci demande un scan d'empreintes digitales pour permettre à l’usager de « consulter leurs recommandations personnalisées en matière de calories et d'alimentation » (Figure 1). Quelques instants seulement après que l'utilisateur se conforme à la demande et pose son doigt sur le lecteur d'empreintes digitales, l'application affiche une fenêtre contextuelle indiquant un paiement douteux s'élevant à 99,99 USD, 119,99 USD ou 139,99 EUR (Figure 2).

Toutefois, si l'utilisateur possède une carte de crédit ou de débit directement connectée à un compte Apple, la transaction est considérée comme vérifiée et l'argent est viré à l'opérateur responsable de ces arnaques.

Basées sur l'interface utilisateur et les fonctionnalités, les deux applications sont très probablement créées par le même développeur. Les utilisateurs ont également posté des vidéos de « Fitness Balance app » et « Calories Tracker app » sur Reddit.

Figure 1 - Des applications frauduleuses dans l'App Store d'Apple exigent que les utilisateurs scannent leurs doigts pour le suivi de leur condition physique (Source de l'image : Reddit)

Figure 2 - Paiement douteux apparaissant dans « Fitness Balance app » et « Calories Tracker app » (Image source : Reddit)

Si l'utilisateur refuse de faire glisser son pouce dans l'application « Fitness Balance app », une autre fenêtre contextuelle s'affiche, lui demandant d’appuyer sur le bouton « Continuer » pour pouvoir utiliser l'application. S'ils s'y conforment, l'application essaie de répéter la douteuse procédure de paiement.

Malgré sa nature malveillante, l'application « Fitness Balance » a reçu de multiples évaluations 5 étoiles, avec une moyenne de 4,3 étoiles et au moins 18 commentaires positifs des utilisateurs. L'affichage de fausses critiques est une technique des escrocs bien connue pour améliorer la réputation de leurs applications.

Des victimes ont déjà signalé ces deux applications à Apple, ce qui a entraîné leur retrait du marché. Les utilisateurs ont même essayé de contacter directement le développeur de « Fitness Balance app », mais n'ont reçu qu'une réponse générique promettant que les « problèmes » signalés seront corrigés dans la prochaine version 1.1 (Figure 3).

Figure 3 - Les utilisateurs qui ont contacté directement le développeur ont reçu ce message, qui semble être une réponse automatique

Que peuvent faire les utilisateurs pour éviter ce type de menaces?

Comme Apple n'autorise pas les produits de sécurité dans son App Store, les utilisateurs doivent se fier aux mesures de sécurité mises en place par Apple.

En outre, ESET conseille aux utilisateurs de toujours lire les commentaires des autres utilisateurs. Comme les commentaires positifs sont facilement falsifiables, les critiques négatives sont plus susceptibles de révéler la vraie nature de l'application.

Les utilisateurs d'iPhone X peuvent également activer une fonction supplémentaire appelée « Double Click to Pay » (ou double-cliquez pour payer), qui leur demande de double-cliquer sur le bouton latéral (Figure 4) pour vérifier un paiement.