Sophos, celosvětovým lídr a inovátor v oblasti poskytování kybernetické bezpečnosti formou služby, ve své nejnovější studii „Podvodné obchodní aplikace pronikly do obchodů Apple App Store a Google Play“ zveřejnil nová zjištění o podvodech typu CryptoRom – propracovaných schématech finančních podvodů, které využívají a podvádějí uživatele seznamovacích aplikací tím, že je navádějí k falešným investicím do kryptoměn. Studie podrobně popisuje první falešné CryptoRom aplikace Ace Pro a MBM_BitScan, které úspěšně obešly přísné bezpečnostní protokoly společnosti Apple. Kyberzločinci dříve používali oklikou vedoucí techniky, kdy přesvědčili oběti ke stažení nelegitimních aplikací pro iPhone, které nebyly schváleny obchodem Apple App Store. Sophos okamžitě informoval společnosti Apple a Google, které podvodné aplikace ze svých obchodů s aplikacemi odstranily.
„Obecně platí, že je těžké dostat malware přes proces bezpečnostní kontroly v obchodě Apple App Store. Proto když jsme původně začali vyšetřovat CryptoRom podvody zaměřené na uživatele iOS, museli podvodníci uživatele nejprve přesvědčit, aby si nainstalovali konfigurační profil, a teprve poté mohli nainstalovat falešnou obchodní aplikaci. To samozřejmě zahrnuje další úroveň sociálního inženýrství, kterou je těžké překonat. Mnoho potenciálních obětí by bylo ‘upozorněno‘, že něco není v pořádku, když by si nemohly údajně legitimní aplikaci stáhnout přímo. Tím, že se aplikace dostala do App Storu, podvodníci značně rozšířili okruh svých potenciálních obětí, a to zejména proto, že většina uživatelů už z podstaty společnosti Apple důvěřuje,“ řekl Jagadeesh Chandraiah, senior threat researcher společnosti Sophos. „Obě aplikace také nejsou ovlivněny novým režimem blokování v systému iOS, který podvodníkům brání v načítání mobilních profilů užitečných pro sociální inženýrství. Ve skutečnosti mohou tito CryptoRom podvodníci změnit svou taktiku – tedy zaměřit se na obcházení procesu kontroly App Storu – s ohledem na bezpečnostní funkce režimu blokování.“
Aby podvodníci nalákali oběť, která byla podvedena například s pomocí aplikace Ace Pro, vytvořili a aktivně udržovali falešný facebookový profil a osobu ženy, která údajně žije bohatým životním stylem v Londýně. Po navázání kontaktu s obětí podvodníci navrhli oběti stažení podvodné aplikace Ace Pro a odtud se odvíjel podvod s kryptoměnami.
Aplikace Ace Pro je v obchodě s aplikacemi popisována jako čtečka QR kódů, jedná se ale o podvodnou platformu pro obchodování s kryptoměnami. Po otevření se uživatelům zobrazí obchodní rozhraní, kde mohou údajně vkládat a vybírat měny. Veškeré vložené peníze ale směřují přímo k podvodníkům. Sophos se domnívá, že aby se podvodníci dostali přes zabezpečení App Storu, nechali při úvodním odeslání ke kontrole aplikaci připojit ke vzdálené webové stránce s neškodnými funkcemi. Doména obsahovala QR kód pro naskenování, aby pro recenzenty aplikací vypadala legitimně. Jakmile však byla aplikace schválena, podvodníci ji přesměrovali na doménu registrovanou v Asii. Tato doména odesílá požadavek, na který odpoví obsah z jiného hostitele, který nakonec poskytne falešné obchodní rozhraní.
MBM_BitScan je aplikace pro Android, ale v obchodě Google Play je známá jako BitScan. Obě aplikace komunikují se stejnou infrastrukturou C2 (Command and Control); tato infrastruktura C2 pak komunikuje se serverem, který se podobá legitimní japonské firmě obchodující s kryptoměnami. Veškeré škodlivé chování se řeší ve webovém rozhraní, a proto je pro kontrolory aplikací v Google Play obtížné odhalit, že jde o podvod.
CryptoRom, podskupina rodiny podvodů známých jako sha zhu pan – doslova „řeznický špalek na prasata“ – je dobře organizovaná, syndikovaná podvodná operace, která využívá kombinaci sociálního romanticky orientovaného inženýrství, podvodných aplikací a webových stránek pro obchodování s kryptoměnami, aby nalákala oběti a po získání jejich důvěry jim ukradla peníze. Sophos tyto podvody, které vynášejí miliony dolarů sleduje již dva roky a pravidelně o nich informuje.
