Des applications sous iOS pour la mise en forme volent leurs usagers

Escroquerie au paiement sur des applications de fitness pour iPhone

Les applications de suivi de la condition physique visées utilisent des méthodes de paiements douteuses intégrées dans les applications pour frauder des utilisateurs d'iPhone et d'iPad non avertis.

Les applications de suivi de la condition physique visées utilisent des méthodes de paiements douteuses intégrées dans les applications pour frauder des utilisateurs d’iPhone et d’iPad non avertis.

Plusieurs applications se faisant passer pour des outils de suivi de la condition physique ont été prises en flagrant délit d’utilisation abusive de la fonction Touch ID d’Apple pour voler de l’argent aux utilisateurs iOS. Le mécanisme de paiement douteux utilisé par les applications est activé pendant que les victimes scannent leurs empreintes digitales, apparemment à des fins de suivi de la condition physique.

Il existe de nombreuses applications qui promettent d’aider les utilisateurs en quête d’un mode de vie plus sain. Les fausses applications notées ici étaient, jusqu’à récemment, disponibles dans l’Apple App Store. Les applications s’appelaient « Fitness Balance app » et « Calories Tracker app », et à première vue, elles semblaient mettre les utilisateurs sur la voie du fitness – elles pouvaient calculer leur IMC, suivre leur apport calorique quotidien ou leur rappeler de boire plus d’eau. Ces services, cependant, viennent avec un prix inattendu et élevé, selon des utilisateurs de Reddit.

Après qu’un utilisateur lance l’une des applications susmentionnées pour la première fois, celle-ci demande un scan d’empreintes digitales pour permettre à l’usager de « consulter leurs recommandations personnalisées en matière de calories et d’alimentation » (Figure 1). Quelques instants seulement après que l’utilisateur se conforme à la demande et pose son doigt sur le lecteur d’empreintes digitales, l’application affiche une fenêtre contextuelle indiquant un paiement douteux s’élevant à 99,99 USD, 119,99 USD ou 139,99 EUR (Figure 2).

Toutefois, si l’utilisateur possède une carte de crédit ou de débit directement connectée à un compte Apple, la transaction est considérée comme vérifiée et l’argent est viré à l’opérateur responsable de ces arnaques.

Basées sur l’interface utilisateur et les fonctionnalités, les deux applications sont très probablement créées par le même développeur. Les utilisateurs ont également posté des vidéos de « Fitness Balance app » et « Calories Tracker app » sur Reddit.

Apps iOS frauduleuses

Figure 1 – Des applications frauduleuses dans l’App Store d’Apple exigent que les utilisateurs scannent leurs doigts pour le suivi de leur condition physique (Source de l’image : Reddit)

Apps iOS frauduleuses

Figure 2 – Paiement douteux apparaissant dans « Fitness Balance app » et « Calories Tracker app » (Image source : Reddit)

Si l’utilisateur refuse de faire glisser son pouce dans l’application « Fitness Balance app », une autre fenêtre contextuelle s’affiche, lui demandant d’appuyer sur le bouton « Continuer » pour pouvoir utiliser l’application. S’ils s’y conforment, l’application essaie de répéter la douteuse procédure de paiement.

Malgré sa nature malveillante, l’application « Fitness Balance » a reçu de multiples évaluations 5 étoiles, avec une moyenne de 4,3 étoiles et au moins 18 commentaires positifs des utilisateurs. L’affichage de fausses critiques est une technique des escrocs bien connue pour améliorer la réputation de leurs applications.

Des victimes ont déjà signalé ces deux applications à Apple, ce qui a entraîné leur retrait du marché. Les utilisateurs ont même essayé de contacter directement le développeur de « Fitness Balance app », mais n’ont reçu qu’une réponse générique promettant que les « problèmes » signalés seront corrigés dans la prochaine version 1.1 (Figure 3).

Apps iOS frauduleuses

Figure 3 – Les utilisateurs qui ont contacté directement le développeur ont reçu ce message, qui semble être une réponse automatique

Que peuvent faire les utilisateurs pour éviter ce type de menaces?

Comme Apple n’autorise pas les produits de sécurité dans son App Store, les utilisateurs doivent se fier aux mesures de sécurité mises en place par Apple.

En outre, ESET conseille aux utilisateurs de toujours lire les commentaires des autres utilisateurs.  Comme les commentaires positifs sont facilement falsifiables, les critiques négatives sont plus susceptibles de révéler la vraie nature de l’application.

Les utilisateurs d’iPhone X peuvent également activer une fonction supplémentaire appelée « Double Click to Pay » (ou double-cliquez pour payer), qui leur demande de double-cliquer sur le bouton latéral (Figure 4) pour vérifier un paiement.

Apps iOS Frauduleuses

Figure 4 – La fonction de vérification des boutons latéraux du iPhone X premium

Ceux qui ont déjà été victimes de cette escroquerie peuvent également essayer de demander un remboursement à l’Apple App Store.

Discussion