Sophos今日在最新报告《诈骗App潜入Apple和Google应用程式商店》中,发布了对CryptoRom诈骗的最新发现。这是一场精心策划的金融诈骗,诱使交友App的用户进行假的加密货币投资。
|
Sophos详细介绍在Apple App Store上发现的第一个CryptoRom诈骗的假App |
该报告详细介绍了首批成功绕过Apple严格安全控管的假CryptoRom应用程式━Ace Pro和MBM_BitScan。而在之前,网路罪犯分子只能试图说服受害者下载未在Apple App Store上架的非法iPhone App。Sophos立即通知Apple和Google;紧接着两家公司都从各自的商店中删除了这些诈骗App。
Sophos 资深威胁研究员Jagadeesh Chandraiah表示:「一般来说,恶意软体很难通过Apple App Store的安全审查流程。这就是为什麽当我们最初开始调查针对iOS用户的CryptoRom诈骗时,诈骗者必须先说服用户先安装设定档,然後才能安装假的交易App。显然,这需要一些额外的社交工程手法才行,而且很难达成。当许多潜在受害者无法直接下载一个据称合法的App时,他们会『警觉』到某些事情不对劲。但若将App上架到App Store上,诈骗分子就能大大增加潜在的受害者对象,因为绝大多数用户都会信任Apple。这两款App也不受iOS最新锁定模式的影响,该模式可防止诈骗分子载入用於社交工程的行动设定档。事实上,CryptoRom诈骗分子很可能正在根据锁定模式中的安全功能改变他们的策略,并专心设法绕过App Store审查流程。」
例如,为了引诱被Ace Pro骗过的受害者,诈骗者会建立并积极维护一个假的Facebook帐号,和一个据称在伦敦过着奢华生活的女性角色。在与受害人搭上线後,骗子会建议受害人下载诈骗App Ace Pro,然後展开加密货币诈骗。
Ace Pro在应用商店中被归类於QR码扫描器,但实际上是一个诈骗加密货币交易平台。打开这个App後,用户会看到一个可以存取款项的交易介面。但是,任何存入的钱都会直接流向诈骗者。
为了绕过App Store的安全措施,Sophos认为诈骗者在App最初提交审查时,先将其连线到用途正当的远端网站。该网域包含用於QR扫描的程式码,因此App审核者会认为它是合法的。
然而,一旦该App获得核准,诈骗者就会将该App重新导向到另一个在亚洲注册的网域。该网域会发送一个请求,让来自另一台主机的内容进行回应,最终回传的是假的交易介面。
MBM_BitScan也是适用於Android的App,但它在Google Play上被称为BitScan。这两个App都使用相同的命令和控制(C2)基础架构进行通讯;然後,此C2基础架构会与类似於日本合法加密公司的伺服器进行通讯。所有其他恶意内容都是经由网页介面处理,这就是为什麽Google Play的程式码审查人员很难侦测出它是诈骗App的原因。
CryptoRom是被称为「杀猪盘」诈骗家族的一个子集,其是一个组织严密的联合诈骗活动,结合使用交友社交工程、诈骗性加密货币交易App和网站,用来引诱受害者并在获得信任後窃取他们的金钱。两年来,Sophos一直在追踪和回报这些骗取数百万美元的骗局。