Sophos раскрывает мошенничество с приложением CryptoRom

В отчете были обнаружены факты мошенничества с CryptoRom — тщательно продуманные схемы финансового мошенничества, которые обманывают пользователей приложений для знакомств и заставляют их делать поддельные инвестиции в криптовалюту.

Ранее киберпреступники использовали обходные методы, чтобы убедить жертв загружать незаконные приложения для iPhone, которые не были одобрены Apple App Store.

Sophos немедленно уведомила об этом Apple и Google; оба с тех пор удалили мошеннические приложения из своих магазинов.

«Вообще, вредоносное ПО сложно пройти проверку безопасности в Apple App Store. Вот почему, когда мы первоначально начали расследование мошенничества с CryptoRom, нацеленного на пользователей iOS, мошенники должны были убедить пользователей сначала установить профиль конфигурации, прежде чем они смогут установить поддельное торговое приложение. Это, очевидно, требует дополнительного уровня социальной инженерии — уровня, который трудно преодолеть. Многие потенциальные жертвы будут «предупреждены» о том, что что-то не так, когда они не смогут напрямую загрузить предположительно законное приложение. Поместив приложение в App Store, мошенники значительно увеличили число потенциальных жертв, особенно потому, что большинство пользователей по своей сути доверяют Apple», — пояснил старший исследователь Sophos Джагадиш Чандрайя.

«На оба приложения также не влияет новый режим блокировки iOS, который не позволяет мошенникам загружать мобильные профили, полезные для социальной инженерии. Фактически, эти мошенники CryptoRom могут изменить свою тактику — например, сосредоточиться на обходе процесса проверки App Store — в свете функций безопасности в Lockdown».

Например, чтобы заманить жертву, которую обманули с помощью Ace Pro, мошенники создали и активно поддерживали поддельный профиль в Facebook и личность женщины, предположительно ведущей роскошный образ жизни в Лондоне.

После установления контакта с жертвой мошенники предложили жертве загрузить мошенническое приложение Ace Pro, и оттуда началось мошенничество с криптовалютой.

Ace Pro описан в магазине приложений как сканер QR-кода, но является мошеннической платформой для торговли криптовалютой. После открытия пользователи видят торговый интерфейс, где они предположительно могут вносить и снимать валюту. Однако любые депонированные деньги идут непосредственно мошенникам.

Sophos полагает, что для того, чтобы обойти систему безопасности App Store, мошенники подключили приложение к удаленному веб-сайту с безопасными функциями, когда оно было первоначально отправлено на проверку.

Домен включал код для сканирования QR, чтобы рецензенты приложения выглядели законными. Однако, как только приложение было одобрено, мошенники перенаправили его на домен, зарегистрированный в Азии. Этот домен отправляет запрос, который отвечает контентом с другого хоста, который в конечном итоге предоставляет поддельный торговый интерфейс.

MBM_BitScan также является приложением для Android, но, согласно Sophos, оно известно как BitScan в Google Play. Два приложения взаимодействуют с одной и той же инфраструктурой управления и контроля (C2); эта инфраструктура C2 затем связывается с сервером, который напоминает законную японскую криптофирму. Все остальное, что является вредоносным, обрабатывается в веб-интерфейсе, поэтому рецензентам кода Google Play трудно определить его как мошенническое.

CryptoRom, подгруппа семейства мошенников, известных как sha zhu pan (杀猪盘) — буквально «тарелка для разделки свиней», — это хорошо организованная синдицированная мошенническая операция, в которой используется сочетание ориентированной на романтику социальной инженерии и мошеннических приложений для торговли криптовалютой. и веб-сайты, чтобы заманить жертв и украсть их деньги после завоевания их доверия.

Sophos отслеживала и сообщала об этих мошенничествах, приносящих миллионы долларов, в течение двух лет.

Впервые это появилось в подписном информационном бюллетене CommsWire 3 февраля 2023 года.