Un’app dannosa “Jungle Run” ha ingannato le protezioni di sicurezza per farla entrare nell’App Store di Apple, truffando gli utenti senza soldi con una funzionalità simile a un casinò.
Un gioco per bambini chiamato “Jungle Run” che, fino a poco tempo fa, era disponibile nell’App Store di Apple, era segretamente un casinò finanziato da criptovalute creato per truffare le persone senza soldi.
Kosta Eleftheriou, che ha scoperto la truffa, è un imprenditore tecnologico e fondatore dell’app per tastiera di Apple Watch FlickType che, vale la pena notare, è attualmente coinvolto in un contenzioso antitrust che ha intentato contro Apple a marzo.
Ha anche sviluppato un popolare trambusto laterale della sicurezza informatica che rintraccia app dannose in agguato nello store iOS. La sua ultima scoperta è stata che Jungle Run, che è stato commercializzato su App Store come un gioco per bambini dai 4 anni in su, si è trasformato in un casinò con criptovalute quando ha impostato la sua VPN in Turchia.
In seguito ha scoperto che il casinò Jungle Run funzionava anche quando le VPN erano impostate in Italia e Kazakistan. Ha riflettuto su Twitter se fosse disponibile ovunque tranne che negli Stati Uniti
“Questo è un metodo creativo di ingegneria sociale per aggirare i controlli di sicurezza tecnica di Apple”, ha dichiarato via e-mail Chris Morales, CISO di Netenrich. “Semplice intelligenza umana creativa che batte il machine learning. Questo è lo stesso motivo per cui il phishing funziona ancora e l’ingegneria sociale è la tecnica numero uno per gli attacchi, non il malware avanzato”.
Lo stesso sviluppatore aveva anche “Magical Forest Puzzle” sull’app store, che utilizzava lo stesso trucco VPN per sbloccare un casinò diverso.
Dopo che Eleftheriou è andato alla stampa con la scoperta e Gizmodo è stato in grado di verificare e riferire che l’app Jungle Run era davvero un losco casinò che si spacciava per un gioco per bambini, Apple ha disattivato l’app . Ma era già disponibile da mesi, ha aggiunto Eleftheriou.
Utenti truffati da un’app iOS approvata rivolta ai bambini
Eleftheriou ha affermato che le recensioni di Jungle Run includevano reclami da parte degli utenti che erano stati truffati da depositi e pagamenti.
“È impossibile sapere quanti soldi questi truffatori hanno fatto da utenti ignari, ma tali schemi fanno banca”, ha aggiunto Eleftheriou.
Alla domanda su quante di queste app truffa ha scoperto finora, Eleftheriouhe ha detto a Threatpost, “MOLTO”, aggiungendo che riceve un flusso costante di suggerimenti tramite un indirizzo e-mail che ha impostato per ottenere contatti.
“A questo punto, molte persone mi stanno dando la mancia sulle truffe”, ha detto.
Il suo obiettivo, ha detto a Threatpost, è convincere Apple a “…smettere di fuorviare utenti e sviluppatori”.
Apple non ha risposto alla richiesta di commento di Threatpost. Uno dei suoi ex direttori del marketing, tuttavia, si è rivolto a Twitter per esprimere i suoi sentimenti.
Le app mobili dannose affliggono i negozi ufficiali
Questa rivelazione arriva dopo che è stata scoperta una goccia costante di app dannose, non solo nell’App Store di Apple, ma anche in Google.
Alla fine di marzo è stata scoperta una cache di app di “abbigliamento in pile” , che alla fine ha incassato più di $ 400 di entrate, sia nei mercati ufficiali di Apple che di Google, inclusi “simulatori di melma”, indovini, filtri e altre funzioni in gran parte commercializzate per i bambini .
E proprio questo mese, una falsa app Netflix in Google Play è stata diffusa tramite WhatsApp. CheckPoint ha rilevato che almeno 500 utenti avevano i loro account WhatsApp dirottati e utilizzati per inviare spam ad altri contatti per propagare il malware.
La pressione su questi mercati sta aumentando per aumentare i loro screening di sicurezza sulle app prima che siano rese disponibili.
“App store alternativi che si concentrano sulla sicurezza piuttosto che sui ricavi farebbero un lavoro molto migliore di Apple”, ha affermato Eleftheriou. “L’iPhone ha già protezioni a livello di sistema sufficienti per far funzionare tutto questo e Apple deve abbandonare il sistema di sicurezza che danneggia i consumatori ogni giorno”.