Veszélyesek társkereső appokat találtak

A Sophos kiberbiztonsági cég CryptoRom csalásokra derített fényt. A csalók hamis női Facebook és Tinder profilokkal verték át az áldozatokat. Az alkalmazások az App Store-ban Ace Pro és MBM BitScan, a Play Store-ban pedig BitScan néven futottak. A Sophos azonnal értesítette az Apple-t és a Google-t, amelyek eltávolították a csaló alkalmazásokat az App Store-ból.

A riport címe "Fraudulent Trading Apps Sneak into Apple and Google App Stores”, magyarul “Csaló kereskedelmi alkalmazások jelentek meg az Apple és a Google App Store felületén”. A jelentés részletesen bemutatja az első csaló célú CryptoRom alkalmazásokat - a nevük Ace Pro és MBM_BitScan - amelyek sikeresen megkerülték az Apple szigorú biztonsági protokolljait. Korábban a kiberbűnözők megkerülő technikákat alkalmaztak az áldozatok meggyőzésére, hogy azok kártékony iPhone appokat töltsenek le, amelyek nem rendelkeztek az Apple App Store engedélyével. A Sophos azonnal értesítette az Apple-t és a Google-t, amelyek eltávolították a csaló alkalmazásokat az App Store-ból.

“Általánosságban elmondható, hogy nehéz egy malware-t keresztüljuttatni az Apple App Store biztonsági ellenőrző folyamatán. Ezért, amikor eredetileg elkezdtük vizsgálni az iOS felhasználókat célzó CryptoRom átveréseket, a csalóknak még rá kellett vennie a felhasználókat, hogy először telepítsenek egy konfigurációs profilt, mielőtt hamis kereskedelmi appokat tudnának telepíteni. Értelemszerűen ez magában foglalja a social engineering egy további szintjét - egy olyan szintet, amely nehezen leküzdhető akadályt jelentett a bűnözők számára. Sok potenciális áldozatot “figyelmeztetett” arra, hogy valami nem stimmel, amikor nem tudtak közvetlenül letölteni egy elméletileg legitim applikációt. Azzal, hogy az applikációt bejuttatták az App Store-ba, a csalók jelentősen megnövelték a potenciális áldozatok körét, különösen amiatt, mert a legtöbb felhasználó eredendően megbízik az Apple-ben.” mondta Jagadeesh Chandraiah, a Sophos szenior fenyegetés-kutatója. “Egyik appot sem érinti az iOS új Lockdown módja, amely megakadályozza, hogy a csalók olyan mobilprofilokat töltsenek be, amelyek hasznosak a social engineeringhez. Sőt, ezek a CryptoRom csalók megváltoztathatják a taktikájukat, vagyis az App Store ellenőrző folyamatának megkerülésére összpontosíthatnak, a Lockdown biztonsági funkcióinak fényében.”

Például az Ace Proval megtévesztett áldozatok elcsábítása érdekében a csalók létrehoztak és aktívan üzemeltettek egy hamis Facebook profilt és egy perszónát: ez a perszóna egy olyan nő volt, aki elvileg luxusban gazdag életmódot folytat Londonban. Az áldozattal való kapcsolat felépítése után a csalók azt javasolták az áldozatnak, hogy töltse le az ártó célú Ace Pro appot és onnan bontakozott ki a kriptovaluta csalás.

Az app store leírásában a Ace Pro QR-kód leolvasóként szerepel, valójában viszont egy csaló célú kriptokereskedési platform. Megnyitás után a felhasználók egy kereskedési felületet látnak, ahová elvileg pénzt tudnak feltölteni vagy onnan kivenni. Ám a feltöltött összeg mindig közvetlenül a csalókhoz kerül. A Sophos úgy véli, hogy az App Store biztonsági intézkedéseinek megkerülése érdekében a csalók az appot egy ártalmatlan funkciókkal bíró távoli weboldalhoz kapcsolták, amikor eredetileg elküldték ellenőrzésre. A domain tartalmazott kódot a QR-szkenneléshez, hogy az alkalmazásokat ellenőrzők számára legitimnek tűnjön. Az app jóváhagyását követően azonban a csalók átirányították azt egy Ázsiában bejegyzett domainre. Ez a domain egy olyan kérelmet küld, amely egy másik hosztról származó tartalommal válaszol, amely végül a hamis kereskedési felületet biztosítja.

Az MBM_BitScan Android-alkalmazásként is jelen van, de a Google Playen Bitscan néven ismert. A két alkalmazás ugyanazzal a Command and Control (C2) vezérlő-infrastruktúrával kommunikál; ez a C2-infrastruktúra pedig egy legitim japán kriptocégre emlékeztető szerverrel folytat adatcserét. Minden más ártó célú műveletet egy webes felületen kezelnek, ami miatt a Google Play kódellenőrzőinek nehéz észlelnie, hogy ez egy csaló eszköz.

A CryptoRom a “sha zhu pan” (杀猪盘) - szó szerint fordítva “disznóvágás” - néven ismert átverések családjába tartozik. Ez egy jól szervezett, szindikált átveréses művelet, amely társkereső-központú social engineering tevékenységek, csaló kriptokereskedési alkalmazások és olyan weboldalak kombinációját alkalmazza, amellyel elcsábítják az áldozatokat és ellopják a pénzüket, miután elnyerték a bizalmukat. A Sophos két éve követi nyomon és jelenti ezeket a csalásokat, amelyekkel dollármilliókat szereznek meg az elkövetők.