Várias aplicações que se fazem passar por sistemas para acompanharem o exercício físico foram apanhadas a utilizar indevidamente a funcionalidade Touch ID da Apple para roubar dinheiro aos utilizadores do iOS.

Apps de fitness: Uma forma simples de enganar

As vítimas são enganadas de uma forma bastante simples. Enquanto pensam que estão a utilizar a impressão digital, vulgarmente conhecida por Touch ID no mundo Apple, para acederem às aplicações de Fitness, estão a fornecer estes dados a criminosos.

Existem muitas aplicações que prometem ajudar os utilizadores a obterem um estilo de vida mais saudável. Estas aplicações falsas estavam, até às últimas semanas, disponíveis na Apple App Store. As aplicações em questão chamam-se “app Fitness Balance” e “app Calories Tracker”.

Muitas funcionalidades mas só para enganar

À primeira vista estas apps parecem colocar num bom caminho. Podem calcular o IMC, acompanhar a ingestão diária de calorias ou lembrar os utilizadores de beberem mais água. Estes serviços, no entanto, vieram com um preço muito alto, segundo os utilizadores do Reddit.

Um pop-up duvidoso

Assim que um utilizador aciona qualquer uma das aplicações pela primeira vez, elas solicitam a impressão digital para efeitos de personalização. Depois disso, estas apps abrem um pop-up com um pagamento duvidoso no valor de 99,99, 119,99 USD ou 139,99 EUR.

Este pop-up só é visível durante cerca de um segundo. No entanto, se o utilizador tiver um cartão de crédito ou débito ligado diretamente à conta Apple, a transação é considerada verificada e o dinheiro é passado para o criminoso.

Com base na interface de utilizador e funcionalidades, as duas aplicações são criadas provavelmente pelo mesmo programador.

de fitness

Imagem 1 – Aplicações fraudulentas na App Store da Apple. Exigem que os utilizadores utilizem a impressão digital para efeitos de monitorização dos elementos de saúde. (Fonte da imagem: Reddit)

Imagem 2 – Pagamento fraudolento a aparecer na “App Fitness Balance” e “Calories Tracker app” (Fonte da imagem: Reddit)

Se os utilizadores se recusarem a colocar o dedo na aplicação “Fitness Balance”, será exibido outro pop-up solicitando que toque no botão “Continuar” para poder usar a app. Se eles cumprirem, a app vai tentar repetir o procedimento de pagamento malicioso.

Uma app com avaliação acima da média

Apesar da sua natureza perigosa, a “app Fitness Balance” recebeu várias avaliações de 5 estrelas. Teve uma classificação média de 4,3 estrelas. Contou ainda com 18 avaliações positivas. Mas como eventualmente sabe, colocar avaliações falsas é uma técnica bem conhecida utilizada pelos criminosos para melhorarem a reputação das suas aplicações.

Aplicações já foram reportadas

As vítimas, entretanto, relataram estas duas aplicações à Apple, o que levou à sua remoção desta loja online Os utilizadores chegaram a entrar em contato direto com o programador da app “Fitness Balance”, mas receberam apenas uma resposta genérica que prometia corrigir os “problemas” reportados na próxima versão 1.1 (Figura 3).

Imagem 3 – os utilizadores que contataram diretamente o programador receberam o que parece ser uma resposta automática

O que os utilizadores podem fazer para evitar ameaças semelhantes?

Primeiramente, a Apple não permite produtos de segurança na sua App Store. Assim, os utilizadores necessitam de confiar nas medidas de segurança implementadas por este fabricante.

Além disso, a ESET aconselha os utilizadores a contarem opiniões de outros utilizadores. Assim, como o feedback positivo é facilmente falsificado, os comentários negativos são mais propensos a revelar a verdadeira natureza das apps.

Em simultâneo, os possuidores do iPhone X também podem ativar uma funcionalidade adicional chamada “Double Click to Pay”, que exige que eles cliquem duas vezes no botão lateral (Figura 4) para verificar um pagamento.

Imagem 4 – A função de verificação do botão lateral no iPhone X

Entretanto, quem foi vítima deste golpe também pode tentar reivindicar um reembolso a partir da Apple Store.

Acompanhe ao minuto as últimas noticias de tecnologia. Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.