Touch ID

Con relativa frecuencia se encuentran aplicaciones en Google Play que hacen uso fraudulento o cuanto menos dudoso de los permisos que son requeridos al usuario. El último caso fueron unas aplicaciones que se instalaban y permanecían en la trastienda, activas pero sin una forma de detectar que estaban allí.

Ahora y de nuevo Lukas Stefanko, investigador de malware de ESET, pone la voz de alarma sobre un par de aplicaciones en iOS que simulan ser servicios de Fitness o de conteo de calorías, pero en su lugar clonan la interfaz de Touch ID para facturarte una cantidad que puede ir de los 100 dólares a los 140 euros, según la región.

Medio millón de usuarios Android descargaron malware desde Google Play

Básicamente lo que realizan estas aplicaciones ('Fitness Balance app' y 'Calories Tracker app'), que parecen estar ideadas por el mismo desarrollador, es mostrar una pantalla en la que invitan al usuario a "ver su seguimiento personaliado de calorías y recomendación sobre la dieta" registrando su huella dactilar. Una vez que este ha puesto su dedo en el sensor de huellas la aplicación dispara un consentimiento de pago que apenas dura un segundo, como se puede ver en el vídeo.

Esto hace que se registra la huella y si nuestra cuenta cuenta con los fondos suficientes, la transacción se daría por validada. Estas aplicaciones están valoradas positivamente en la App Store, por lo que desde ESET recomiendan estar siempre atentos a las valoraciones negativas:

"Publicar valoraciones falsas es una técnica conocida por los estafadores. Como las valoraciones positivas son fácilmente falsificadas, es en las negativas donde es más probable que encontremos la verdadera naturaleza de una aplicación"

Puesto que los modelos de iPhone X no cuenta con Touch ID, estos pueden activar un segundo paso de verificación de pagos, que consta en el doble click en el botón lateral.