Cibercriminosos utilizam Touch ID para roubar dinheiro na App Store

Aplicativos exibiam pop-up de compra cobrando entre US$ 90,00 e US$ 120,00. Na sequência, a tela era escurecida para dificultar a visualização do prompt

Compartilhar:

A conveniência, a rapidez e a facilidade de uso do Touch ID para desbloquear o iPhone ou aprovar uma compra na App Store foram aproveitadas por criminosos para roubar dinheiro dos usuários dos aplicativos de saúde “Monitor de Frequência Cardíaca”, “App Fitness Balance” e “Calories Tracker”.

 

Com a promessa de acompanhar o consumo de calorias ou calcular o IMC, eles solicitavam os usuários a tocar o Touch ID antes de exibir uma informação aparentemente legítima, como efetuar a medição da frequência cardíaca, por exemplo. Nesse momento, os aplicativos exibiam um pop-up de compra cobrando entre US$ 90,00 e US$ 120,00. Na sequência, a tela era escurecida para dificultar a visualização do prompt.

 

Em alguns casos, mesmo quando o usuário se recusava a usar o Touch ID para ativar um recurso, o aplicativo demandava o toque para continuar, o que acabava por ativar o golpe de pagamento. Não está claro se esses aplicativos vieram de desenvolvedores separados ou de uma única pessoa que opera diversas contas. O que chama a atenção é que para efetuar o golpe não foi empregado nenhum malware e sim explorada a facilidade de uso do Touch ID.

 

“Os criminosos enxergam os usuários de dispositivos móveis e de aplicativos como uma oportunidade para ganhar dinheiro e a Apple Store e a loja do Google Play como avançados canais de distribuição. Como resultado, eles estão encontrando maneiras de contornar os processos de verificação para inserir seus aplicativos fraudulentos e mal-intencionados nos dispositivos dos consumidores. Isso mostra que, embora as lojas busquem retirar do ar apps ruins, os criminosos só ficam melhores em encontrar soluções alternativas”, analisa Sam Bakken, gerente sênior de marketing de produtos da OneSpan.

 

Para Bakken, os consumidores precisam aplicar um exame adicional aos aplicativos que baixam – mesmo das lojas – e analisar as avaliações porque não podem contar com a Apple ou com o Google para protegê-los em todas as instâncias. “Felizmente, bancos e instituições financeiras podem facilmente integrar recursos de proteção em seus aplicativos móveis para blindá-los de ambientes hostis e não confiáveis e assim proteger os usuários de si mesmos”, conclui o especialista.

 

Não se sabe quantas pessoas perderam dinheiro com as fraudes e os aplicativos já foram retirados da Apple Store. Usuários do iPhone X ou posterior não foram afetados, pois esses dispositivos não possuem o botão do Touch ID. Usuários do iPhone 8 ou anterior devem ficar atentos e empregar o Touch ID somente em aplicativos nos quais tenham motivos para confiar.

Conteúdos Relacionados

Security Report | Overview

Polícia investiga invasão a sistemas do Conselho Nacional de Justiça para liberação de presos

A investigação revelou que as fraudes consistiam em alterações de dados relacionados às penas e inserção de documentos falsos. As...
Security Report | Overview

Brasil registrou uma tentativa de fraude a cada 2,5 segundos em novembro, alerta pesquisa

Em novembro, o Brasil registrou 1.020.304 tentativas de golpes evitadas, um aumento de 14,2% em relação ao mesmo mês do...
Security Report | Overview

Indústria de Cyber une forças contra ameaças à nuvem híbrida

A parceria entre Check Point e Wiz visa criar uma estratégia de Cloud Security mais abrangente para o setor, reunindo...
Security Report | Overview

Polícia Federal abre investigação contra fraude digital em e-commerce

Operação, denominada Gift Fraude, apura compras fictícias de gift cards na plataforma, gerando créditos fraudulentos que ultrapassaram R$ 1 milhão