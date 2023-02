Nová zjištění o podvodech typu CryptoRom – propracovaných schématech finančních podvodů, které využívají a podvádějí uživatele seznamovacích aplikací tím, že je navádějí k falešným investicím do kryptoměn – zveřejnil Sophos.





Studie podrobně popisuje první falešné CryptoRom aplikace Ace Pro a BitScan, které úspěšně obešly přísné bezpečnostní protokoly společnosti Apple.

Kyberzločinci přitom dosud používali oklikou vedoucí techniky, kdy přesvědčili oběti ke stažení nelegitimních aplikací pro iPhone, které nebyly schváleny obchodem Apple App Store.

Obecně platí, že je těžké dostat malware přes proces bezpečnostní kontroly v obchodě Apple App Store. Proto dosud museli podvodníci uživatele nejprve přesvědčit, aby si nainstalovali konfigurační profil, a teprve poté mohli nainstalovat falešnou obchodní aplikaci.

To samozřejmě zahrnuje další úroveň sociálního inženýrství, kterou je těžké překonat. Mnoho potenciálních obětí by bylo ‘upozorněno‘, že něco není v pořádku, když by si nemohly údajně legitimní aplikaci stáhnout přímo.

„Ale tím, že se aplikace dostala do App Storu, podvodníci značně rozšířili okruh svých potenciálních obětí, a to zejména proto, že většina uživatelů už z podstaty společnosti Apple důvěřuje,“ tvrdí Jagadeesh Chandraiah, výzkumník společnosti Sophos.

Obě aplikace podle něj také nejsou ovlivněné novým režimem blokování v systému iOS, který podvodníkům brání v načítání mobilních profilů užitečných pro sociální inženýrství.

Ve skutečnosti mohou tito CryptoRom podvodníci změnit svou taktiku – tedy zaměřit se na obcházení procesu kontroly App Storu – s ohledem na bezpečnostní funkce režimu blokování.

Aby podvodníci nalákali oběť, která byla podvedena například s pomocí aplikace Ace Pro, vytvořili a aktivně udržovali falešný facebookový profil a osobu ženy, která údajně žije bohatým životním stylem v Londýně.

Po navázání kontaktu s obětí podvodníci navrhli oběti stažení podvodné aplikace Ace Pro z oficiálního obchodu App Store a odtud se odvíjel podvod s kryptoměnami.

Aplikace Ace Pro je v obchodě s aplikacemi popisována jako čtečka QR kódů, jde ale o podvodnou platformu pro obchodování s kryptoměnami. Po otevření se uživatelům zobrazí obchodní rozhraní, kde mohou údajně vkládat a vybírat měny. Veškeré vložené peníze ale směřují přímo k podvodníkům.

Sophos uvádí, že aby se podvodníci dostali přes zabezpečení App Storu, nechali při úvodním odeslání ke kontrole aplikaci připojit ke vzdálené webové stránce s neškodnými funkcemi. Doména obsahovala QR kód pro naskenování, aby pro recenzenty aplikací vypadala legitimně.

Jakmile však byla aplikace schválena, podvodníci ji přesměrovali na doménu registrovanou v Asii. Tato doména odesílá požadavek, na který odpoví obsah z jiného hostitele, který nakonec poskytne falešné obchodní rozhraní.

V případě Androidu jde o řešení BitScan. Aplikace pro oba OS komunikují se stejnou infrastrukturou C2 (Command and Control); tato infrastruktura C2 pak komunikuje se serverem, který se podobá legitimní japonské firmě obchodující s kryptoměnami. Veškeré škodlivé chování se řeší ve webovém rozhraní, a proto je pro kontrolory aplikací v Google Play obtížné odhalit, že jde o podvod.

Pro upřesnění, CryptoRom je dobře organizovaná, syndikovaná podvodná operace, která využívá kombinaci sociálního romanticky orientovaného inženýrství, podvodných aplikací a webových stránek pro obchodování s kryptoměnami, aby nalákala oběti a po získání jejich důvěry jim ukradla peníze.