「機能利用に指紋必要」とだます詐欺アプリ - 不意突く「Touch ID」課金狙う

利用者が意図しないApp内課金を、ソーシャルエンジニアリングを用いて成立させようとする悪質なiOS向けアプリが確認された。

問題のアプリは、フィットネスアプリを装い、App Storeで公開されていた「Fitness Balance app」「Calories Tracker app」。SNSサイトの「reddit」で詐欺的な課金手法が指摘され、その後同ストアから排除されている。

これらアプリは、iOSにおいて100ドル前後の課金を承認させるため、利用者の意図に反して「Touch ID」を利用させるソーシャルエンジニアリングを行っていた。

具体的には、パーソナライズされたデータの閲覧など、特定機能の利用に指紋のスキャンニングが必要であるなどと説明。指紋をスキャンするよう求めていた。

アプリの利用者が画面の指示に従い、ホームボタンへ指を置いたタイミングを見計らい、App内課金のポップアップを起動。不意を突き、「Touch ID」で支払わせようとしていた。指紋のスキャンを拒否した場合は、繰り返しスキャンを求めてくるという。

ESETによれば、これらアプリはApp Storeにおいてレビューの不正操作を行っており、「Fitness Balance app」では5点満点中、平均4.3点を獲得。肯定的なレビューも複数投稿されていたという。

同社は肯定的なレビューは容易に偽造されると指摘。アプリを利用する際は、否定的なレビューについても確認するよう注意を呼びかけている。

（Security NEXT - 2018/12/04 ）ツイート