Als Fitness-Tracking Tools getarnte iOS-Apps missbrauchen die Apple Touch ID, um Geld von den Usern zu stehlen. Der riskante Zahlungsmechanismus wird von den Scam-Apps aktiviert, wenn die Opfer ihren Fingerabdruck eigentlich für Fitness-Zwecke scannen wollen.

Mittlerweile gibt es eine unüberschaubare Anzahl an Fitness-Apps, welche alle einen gesünderen Lebensstil versprechen oder zumindest den Weg dorthin unterstützen wollen. Die schädlichen Apps waren noch bis vor Kurzem im App Store. Sie nennen sich „Fitness Balance App“ and „Calories Tracker App“ und scheinen den Apple-User auf den ersten Blick in die Fitness-Bahn lenken zu wollen. Die Apps sind im Stande, den BMI zu berechnen, die tägliche Kalorienaufnahme zu summieren oder den User daran zu erinnern, genügend Wasser zu trinken. Laut Reddit-Usern war mit den Anwendungen allerdings ein unerwarteter hoher Preis verbunden.

Nachdem ein Apple-Benutzer das erste Mal eine der oben genannten Apps startete, forderten die Apps einen Fingerabdruckscan an, um die „personalisierten Kalorien-Tracker und Diätempfehlungen anzuzeigen“ (Abbildung 1). Nur einen Moment nachdem der Benutzer den Finger scannte, zeigten die Apps plötzlich ein Popup-Fenster an, in dem eine zweifelhafte Zahlungsaufforderung in Höhe von 99,99, 119,99 USD oder 139,99 EUR angezeigt wurde (Abbildung 2).


Dieses Popup-Fenster ist nur etwa eine Sekunde lang sichtbar. Hat der Apple-User jedoch eine Kredit- oder Debitkarte direkt mit seinem Apple-Konto verbunden, gilt die Transaktion als verifiziert und das Geld wird abgebucht und gelangt zu den Betrügern.

Aufgrund der ähnlichen Benutzeroberfläche und Funktionalität gehen wir davon aus, dass die Apps vom selbem Entwickler(-Team) stammen. Auf Reddit teilten User auch Videos zu der “Fitness Balance App” bzw. der “Calories Tracker App”.

Scam-Apps fordern, dass die Benutzer ihren Finger für das Fitness-Tracking scannen (Bildquelle: Reddit).

Abbildung 1: Scam-Apps fordern, dass die Benutzer ihren Finger für das Fitness-Tracking scannen (Bildquelle: Reddit).

Zwielichtige “Fitness Balance App” und “Calories Tracker App” (Bildquelle: Reddit)

Abbildung 2: Zwielichtige “Fitness Balance App” und “Calories Tracker App” (Bildquelle: Reddit)

Verweigern die Benutzer der „Fitness Balance App“ den Fingerabdruckscan, taucht ein anderes Pop-Up mit einem „Continue“-Button auf. Folgt der Nutzer diesem, versucht die App erneut, den zweifelhaften Zahlmechanismus anzustoßen.

Trotz des bösen Charakters der iOS-Anwendungen besaßen sie im App-Store mehrere 5-Sterne-Bewertungen mit im Durchschnitt 4,3 Sternen. 18 User hinterließen sogar ein positives Feedback-Kommentar. Allerdings sind Fake-Bewertungen ein probates Mittel für Scam-App-Entwickler, um ihre Schad-Anwendungen zu pushen.

Von dem Betrug getroffenen Apple-User wandten sich bereits an Apple, was zur Entfernung der angesprochenen Apps aus dem App Store führte. Einige suchten den direkten Kontakt zu den Entwicklern per E-Mail. Allerdings erhielten sie bloß die generische Antwort, dass man die Probleme in Version 1.1 beheben werde. (Abbildung 3).

Scheinbar automatische Antwort auf die Fragen der Apple-User an die Entwickler der Scam-Apps.

Abbildung 3: Scheinbar automatische Antwort auf die Fragen der Apple-User an die Entwickler der Scam-Apps.

Was können Apple-User gegen Fake- und Scam-Apps unternehmen?

Da Apple keine Sicherheitsprodukte im App-Store zulässt, müssen die User auf die Sicherheitsvorkehrungen von Apple vertrauen.

ESET empfiehlt, immer die Bewertungen anderer User zu lesen – besonders die schlechten – um Schaden abzuwenden.

iPhone X-Benutzer können die zusätzliche Funktion „Double Click to Pay“ aktivieren. Sie müssen dann auf die seitliche Schaltfläche (Abbildung 4) doppelklicken, um eine Zahlung zu bestätigen.

„Double Click to Pay“-Funktion beim iPhone X

Abbildung 4: „Double Click to Pay“-Funktion beim iPhone X

Diejenigen, die bereits auf die Betrugsmasche hereingefallen sind, können eine Rückerstattung von Apple beantragen.