Sophos今日在最新報告《詐騙App潛入Apple和Google應用程式商店》中,發布了對CryptoRom詐騙的最新發現。這是一場精心策劃的金融詐騙,誘使交友App的用戶進行假的加密貨幣投資。
|
Sophos詳細介紹在Apple App Store上發現的第一個CryptoRom詐騙的假App |
該報告詳細介紹了首批成功繞過Apple嚴格安全控管的假CryptoRom應用程式─Ace Pro和MBM_BitScan。而在之前,網路罪犯分子只能試圖說服受害者下載未在Apple App Store上架的非法iPhone App。Sophos立即通知Apple和Google;緊接著兩家公司都從各自的商店中刪除了這些詐騙App。
Sophos 資深威脅研究員Jagadeesh Chandraiah表示:「一般來說,惡意軟體很難通過Apple App Store的安全審查流程。這就是為什麼當我們最初開始調查針對iOS用戶的CryptoRom詐騙時,詐騙者必須先說服用戶先安裝設定檔,然後才能安裝假的交易App。顯然,這需要一些額外的社交工程手法才行,而且很難達成。當許多潛在受害者無法直接下載一個據稱合法的App時,他們會『警覺』到某些事情不對勁。但若將App上架到App Store上,詐騙分子就能大大增加潛在的受害者對象,因為絕大多數用戶都會信任Apple。這兩款App也不受iOS最新鎖定模式的影響,該模式可防止詐騙分子載入用於社交工程的行動設定檔。事實上,CryptoRom詐騙分子很可能正在根據鎖定模式中的安全功能改變他們的策略,並專心設法繞過App Store審查流程。」
例如,為了引誘被Ace Pro騙過的受害者,詐騙者會建立並積極維護一個假的Facebook帳號,和一個據稱在倫敦過著奢華生活的女性角色。在與受害人搭上線後,騙子會建議受害人下載詐騙App Ace Pro,然後展開加密貨幣詐騙。
Ace Pro在應用商店中被歸類於QR碼掃描器,但實際上是一個詐騙加密貨幣交易平台。打開這個App後,用戶會看到一個可以存取款項的交易介面。但是,任何存入的錢都會直接流向詐騙者。
為了繞過App Store的安全措施,Sophos認為詐騙者在App最初提交審查時,先將其連線到用途正當的遠端網站。該網域包含用於QR掃描的程式碼,因此App審核者會認為它是合法的。
然而,一旦該App獲得核准,詐騙者就會將該App重新導向到另一個在亞洲註冊的網域。該網域會發送一個請求,讓來自另一台主機的內容進行回應,最終回傳的是假的交易介面。
MBM_BitScan也是適用於Android的App,但它在Google Play上被稱為BitScan。這兩個App都使用相同的命令和控制(C2)基礎架構進行通訊;然後,此C2基礎架構會與類似於日本合法加密公司的伺服器進行通訊。所有其他惡意內容都是經由網頁介面處理,這就是為什麼Google Play的程式碼審查人員很難偵測出它是詐騙App的原因。
CryptoRom是被稱為「殺豬盤」詐騙家族的一個子集,其是一個組織嚴密的聯合詐騙活動,結合使用交友社交工程、詐騙性加密貨幣交易App和網站,用來引誘受害者並在獲得信任後竊取他們的金錢。兩年來,Sophos一直在追蹤和回報這些騙取數百萬美元的騙局。