Prima che alcune applicazioni iOS siano rese disponibili su App Store, spesso passano attraverso il beta testing pubblico. Pertanto, è necessaria un’app unica, chiamata TestFlight, per accedere alle prime versioni di un’applicazione.
Generalmente, ci sono due versioni di TestFlight disponibili. Se gli sviluppatori vogliono condividere la loro applicazione di accesso anticipato con un piccolo gruppo di persone, possono inviare inviti via email a 100 utenti. Test pubblici più estesi permettono fino a 10.000 partecipanti.
Prima che un’applicazione sia rilasciata per il consumo di massa, deve passare attraverso diversi controlli. In primo luogo, l’applicazione deve essere autorizzata dal team di sicurezza di Apple e poi presentata all’App Store. Questo assicura che l’app non nasconda malware o operazioni nefaste.
Ma installando l’app TestFlight, qualsiasi utente iOS può scaricare e installare applicazioni che non sono passate attraverso i controlli pre-rilascio. Quindi è un modo efficace per far sì che molte persone facciano il beta test della tua app. E per alcuni, installare malware.
Un rapporto di Sophos dettaglia come i criminali stanno sfruttando questa funzionalità per aggirare i controlli di sicurezza dell’App Store. Inviando fino a 10.000 inviti via e-mail, molti sono stati istruiti a scaricare BTCBOX, un’app per uno scambio di criptovalute giapponese.
Dopo l’installazione, l’app inganna l’utente facendogli credere di essere una legittima piattaforma di investimento in criptovalute. Ma una volta che si fa un deposito, il denaro andrà direttamente ai criminali. Quando vuoi incassare, i truffatori sostengono che devi pagare una tassa del 20%.
Sophos chiama queste truffe CryptoRom, e c’è un altro trucco nelle loro maniche. Per prevenire ulteriormente la scoperta da parte dei sistemi di sicurezza di Apple, i truffatori abusano della funzione iOS WebClips. Invece di inviare un’app, si riceve un URL di una pagina web dannosa.
Attraverso la funzionalità WebClips, la pagina web si presenta come un’app visualizzata sulla schermata iniziale dell’iPhone. Potrebbe sembrare un’app legittima se non si presta molta attenzione. Ecco alcuni consigli su come stare al sicuro:
- Non scaricare mai un’app se non sei sicuro da dove proviene o cosa dovrebbe fare. Leggi sempre le recensioni su un’app e sul suo sviluppatore prima di scaricarla.
- Assicurati di essere su un sito web legittimo per gli investimenti in criptovalute. Controlla che l’URL sia corretto e che non ci siano refusi, errori di ortografia o elementi sospetti. Tocca o clicca qui per cinque consigli per comprare criptovalute in modo sicuro.
- Non scaricare mai applicazioni da app store di terze parti. Usa solo le applicazioni dell’App Store ufficiale di Apple o del Google Play Store.
