Falsas aplicaciones de fitness en la App Store de Apple intentan robar dinero de los usuarios

Apple ha construido un ecosistema bastante seguro para sus usuarios con iOS, especialmente si lo comparamos con su rival Android. No obstante, en materia de seguridad no existe nada que pueda considerarse seguro al 100% y Apple también tiene que lidiar con algunas aplicaciones que intentan abusar de ciertas funcionalidades incluidas en sus dispositivos, como el pago por Touch ID.

Aplicaciones de fitness maliciosas en la App Store

Recientemente se han descubierto una serie de supuestas aplicaciones de fitness en la App Store que estarían aprovechándose de forma maliciosa de la característica Touch ID, incluida en los dispositivos iPhone y iPad de Apple, para robar dinero de los usuarios. Esta investigación fue llevada a cabo por nuestro compañero de ESET Lukas Stefanko, analista de malware especializado en las amenazas para dispositivos móviles.

La técnica utilizada por los delincuentes es ingeniosa a la par que efectiva, ya que se activa el proceso de pago mientras los usuarios creen estar escaneando sus huellas dactilares para medir valores como el ritmo cardiaco. Este tipo de aplicaciones que proponen ayudar a llevar un estilo de vida más saludable son bastante comunes en la tienda oficial de Apple, y es por eso que los delincuentes han aprovechado para incluir sus versiones maliciosas camufladas de aplicaciones fitness.

Con nombres tan sugerentes como “Fitness Balance app” y “Calories Tracker app” estas aplicaciones no aparentan realizar algo malicioso a primera vista y, supuestamente, proporcionan información muy útil como el número de calorías ingeridas diariamente, el índice de masa corporal o recordatorios para beber más agua. Sin embargo, esta información tiene un alto precio si nos atenemos a los comentarios de varios usuarios de Reddit.

Cuando un usuario ejecuta alguna de las aplicaciones mencionadas por primera vez, esta app solicita escanear la huella dactilar para “ver un contador de calorías y recomendaciones de dieta personalizados”.

Solicitud de escaneo de huella dactilar utilizada para autorizar pagos fraudulentos – Fuente: Reddit

Tan solo unos instantes después de que el usuario siga los pasos que se muestran en pantalla y coloque su dedo en el scanner de huellas del dispositivo, la aplicación muestra brevemente una ventana deslizante que solicita autorización para realizar un pago de 99,99 dólares, 119,99 dólares o 139,99 euros.

Ventana emergente donde se muestra la solicitud del pago – Fuente: Reddit

Esta ventana emergente se muestra brevemente durante un segundo, pero si el usuario dispone de una tarjeta de crédito o débito asociada a su cuenta de Apple y el dedo que se está escaneando coincide con el asociado con el Touch ID, la transacción se considerará como autorizada y el dinero será retirado de la tarjeta.

Tras analizar la interfaz de ambas aplicaciones y sus funcionalidades, todo apunta a que ambas aplicaciones fueron creadas por el mismo desarrollador. Algunos también han publicado vídeos en Reddit mostrando todo el proceso para así alertar a otras víctimas potenciales y evitar que caigan en esta trampa.

Ejemplo del funcionamiento de este scam – Fuente: Lukas Stefanko

Estas aplicaciones no cesan en su empeño de conseguir este pago fraudulento mediante Touch ID, y si el usuario no accede a escanear su dedo en la aplicación se mostrará otra ventana emergente instando a pulsar sobre un botón “Continuar” para poder seguir usando la aplicación. En el caso de hacerlo, esta app intenta repetir el proceso de autorización de pago con huella.

A pesar de sus intenciones claramente maliciosas, la aplicación “Fitness Balance app” recibió varias valoraciones positivas de 5 estrellas, teniendo una media de 4,3 estrellas en la App Store. No es extraño ver comentarios positivos fraudulentos en aplicaciones de este tipo, una técnica muy conocida y utilizada por los estafadores para aumentar la reputación de sus aplicaciones.

Estas dos aplicaciones ya han sido reportadas a Apple, lo que ha provocado que sean retirados de la tienda oficial. Algunos usuarios incluso han intentado contactar con el desarrollador de la aplicación “Fitness Balance app”, pero solo recibieron una respuesta genérica prometiendo resolver los problemas detectados en la siguiente versión.

¿Cómo se pueden evitar este tipo de amenazas?

Debido a que Apple no permite las soluciones de seguridad como antivirus en su sistema iOS, sus usuarios tienen que confiar a la fuerza en las medidas de seguridad implementadas por la propia Apple, medidas que, como acabamos de ver, no garantizan un 100% de seguridad.

Además, a la hora de instalar aplicaciones, desde ESET se recomienda leer detenidamente los comentarios de los usuarios, ya que a pesar de que los comentarios positivos fraudulentos son fáciles de publicar, los comentarios negativos son más propensos a revelar las verdaderas intenciones de la aplicación.

Debido a que algunos modelos de iPhone más recientes ya no hacen uso de la huella dactilar para confirmar el pago, debemos vigilar que los delincuentes no nos engañen cuando se intente realizar la confirmación del pago mediante otras acciones como pulsar dos veces consecutivas el botón lateral, tal y como vemos en el siguiente ejemplo.

Conclusión

El ecosistema Apple, y más concretamente el sistema operativo iOS, sigue siendo bastante seguro si lo comparamos con otras alternativas. No obstante, ejemplos como el que acabamos de ver demuestran que los delincuentes también se las ingenian para evitar las medidas de seguridad implementadas por Apple, por lo que nosotros también debemos estar atentos para evitar caer en trampas de este tipo.

Josep Albors

Deepak Daswani, Chief Security Ambassador de ElevenPaths (Telefónica)