Podvodníci šířili unikátní malware přes Apple App Store i pro Android

6. 2. 2023

Sdílet

 Autor: Adobe Stock
Pozor na obchody s kryptoměnami – šíří se podvodné aplikace pro Android i iOS, v případě platformy Applu jde dokonce o první případ, kdy hackeři nemusejí překonat zabezpečení pomocí sociálního inženýrství.

Nová zjištění o podvodech typu CryptoRom – propracovaných schématech finančních podvodů, které využívají a podvádějí uživatele seznamovacích aplikací tím, že je navádějí k falešným investicím do kryptoměn – zveřejnil Sophos.

Důvěřujete plně aplikačních obchodům dodavatelů mobilních operačních systémů?

Studie podrobně popisuje první falešné CryptoRom aplikace Ace Pro a BitScan, které úspěšně obešly přísné bezpečnostní protokoly společnosti Apple.

Kyberzločinci přitom dosud používali oklikou vedoucí techniky, kdy přesvědčili oběti ke stažení nelegitimních aplikací pro iPhone, které nebyly schváleny obchodem Apple App Store.

Obecně platí, že je těžké dostat malware přes proces bezpečnostní kontroly v obchodě Apple App Store. Proto dosud museli podvodníci uživatele nejprve přesvědčit, aby si nainstalovali konfigurační profil, a teprve poté mohli nainstalovat falešnou obchodní aplikaci.

To samozřejmě zahrnuje další úroveň sociálního inženýrství, kterou je těžké překonat. Mnoho potenciálních obětí by bylo ‘upozorněno‘, že něco není v pořádku, když by si nemohly údajně legitimní aplikaci stáhnout přímo.

„Ale tím, že se aplikace dostala do App Storu, podvodníci značně rozšířili okruh svých potenciálních obětí, a to zejména proto, že většina uživatelů už z podstaty společnosti Apple důvěřuje,“ tvrdí Jagadeesh Chandraiah, výzkumník společnosti Sophos.

Obě aplikace podle něj také nejsou ovlivněné novým režimem blokování v systému iOS, který podvodníkům brání v načítání mobilních profilů užitečných pro sociální inženýrství.

Ve skutečnosti mohou tito CryptoRom podvodníci změnit svou taktiku – tedy zaměřit se na obcházení procesu kontroly App Storu – s ohledem na bezpečnostní funkce režimu blokování.

Aby podvodníci nalákali oběť, která byla podvedena například s pomocí aplikace Ace Pro, vytvořili a aktivně udržovali falešný facebookový profil a osobu ženy, která údajně žije bohatým životním stylem v Londýně.

Po navázání kontaktu s obětí podvodníci navrhli oběti stažení podvodné aplikace Ace Pro z oficiálního obchodu App Store a odtud se odvíjel podvod s kryptoměnami.

Nepoužívá vaše aplikace ruský kód? Přečtěte si také:

Nepoužívá vaše aplikace ruský kód?

Aplikace Ace Pro je v obchodě s aplikacemi popisována jako čtečka QR kódů, jde ale o podvodnou platformu pro obchodování s kryptoměnami. Po otevření se uživatelům zobrazí obchodní rozhraní, kde mohou údajně vkládat a vybírat měny. Veškeré vložené peníze ale směřují přímo k podvodníkům.

Sophos uvádí, že aby se podvodníci dostali přes zabezpečení App Storu, nechali při úvodním odeslání ke kontrole aplikaci připojit ke vzdálené webové stránce s neškodnými funkcemi. Doména obsahovala QR kód pro naskenování, aby pro recenzenty aplikací vypadala legitimně.

Jakmile však byla aplikace schválena, podvodníci ji přesměrovali na doménu registrovanou v Asii. Tato doména odesílá požadavek, na který odpoví obsah z jiného hostitele, který nakonec poskytne falešné obchodní rozhraní. 

ICTS24

V případě Androidu jde o řešení BitScan. Aplikace pro oba OS komunikují se stejnou infrastrukturou C2 (Command and Control); tato infrastruktura C2 pak komunikuje se serverem, který se podobá legitimní japonské firmě obchodující s kryptoměnami. Veškeré škodlivé chování se řeší ve webovém rozhraní, a proto je pro kontrolory aplikací v Google Play obtížné odhalit, že jde o podvod.

Pro upřesnění, CryptoRom je dobře organizovaná, syndikovaná podvodná operace, která využívá kombinaci sociálního romanticky orientovaného inženýrství, podvodných aplikací a webových stránek pro obchodování s kryptoměnami, aby nalákala oběti a po získání jejich důvěry jim ukradla peníze.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.