Sophos今日在最新报告《诈骗App潜入Apple和Google应用程式商店》中，发布了对CryptoRom诈骗的最新发现。这是一场精心策划的金融诈骗，诱使交友App的用户进行假的加密货币投资。

Sophos详细介绍在Apple App Store上发现的第一个CryptoRom诈骗的假App

该报告详细介绍了首批成功绕过Apple严格安全控管的假CryptoRom应用程式━Ace Pro和MBM_BitScan。而在之前，网路罪犯分子只能试图说服受害者下载未在Apple App Store上架的非法iPhone App。Sophos立即通知Apple和Google；紧接着两家公司都从各自的商店中删除了这些诈骗App。

Sophos 资深威胁研究员Jagadeesh Chandraiah表示：「一般来说，恶意软体很难通过Apple App Store的安全审查流程。这就是为什麽当我们最初开始调查针对iOS用户的CryptoRom诈骗时，诈骗者必须先说服用户先安装设定档，然後才能安装假的交易App。显然，这需要一些额外的社交工程手法才行，而且很难达成。当许多潜在受害者无法直接下载一个据称合法的App时，他们会『警觉』到某些事情不对劲。但若将App上架到App Store上，诈骗分子就能大大增加潜在的受害者对象，因为绝大多数用户都会信任Apple。这两款App也不受iOS最新锁定模式的影响，该模式可防止诈骗分子载入用於社交工程的行动设定档。事实上，CryptoRom诈骗分子很可能正在根据锁定模式中的安全功能改变他们的策略，并专心设法绕过App Store审查流程。」

例如，为了引诱被Ace Pro骗过的受害者，诈骗者会建立并积极维护一个假的Facebook帐号，和一个据称在伦敦过着奢华生活的女性角色。在与受害人搭上线後，骗子会建议受害人下载诈骗App Ace Pro，然後展开加密货币诈骗。

Ace Pro在应用商店中被归类於QR码扫描器，但实际上是一个诈骗加密货币交易平台。打开这个App後，用户会看到一个可以存取款项的交易介面。但是，任何存入的钱都会直接流向诈骗者。

为了绕过App Store的安全措施，Sophos认为诈骗者在App最初提交审查时，先将其连线到用途正当的远端网站。该网域包含用於QR扫描的程式码，因此App审核者会认为它是合法的。

然而，一旦该App获得核准，诈骗者就会将该App重新导向到另一个在亚洲注册的网域。该网域会发送一个请求，让来自另一台主机的内容进行回应，最终回传的是假的交易介面。

MBM_BitScan也是适用於Android的App，但它在Google Play上被称为BitScan。这两个App都使用相同的命令和控制（C2）基础架构进行通讯；然後，此C2基础架构会与类似於日本合法加密公司的伺服器进行通讯。所有其他恶意内容都是经由网页介面处理，这就是为什麽Google Play的程式码审查人员很难侦测出它是诈骗App的原因。

CryptoRom是被称为「杀猪盘」诈骗家族的一个子集，其是一个组织严密的联合诈骗活动，结合使用交友社交工程、诈骗性加密货币交易App和网站，用来引诱受害者并在获得信任後窃取他们的金钱。两年来，Sophos一直在追踪和回报这些骗取数百万美元的骗局。