Sophos přináší podrobnosti o prvních falešných aplikacích nalezených v Apple App Storu, které kyberzločinci využívají pro CryptoRom podvody
Praha, 1. února 2023 – Sophos, celosvětovým lídr a inovátor v oblasti poskytování kybernetické bezpečnosti formou služby, ve své nejnovější studii „Podvodné obchodní aplikace pronikly do obchodů Apple App Store a Google Play“ zveřejnil nová zjištění o podvodech typu CryptoRom – propracovaných schématech finančních podvodů, které využívají a podvádějí uživatele seznamovacích aplikací tím, že je navádějí k falešným investicím do kryptoměn. Studie podrobně popisuje první falešné CryptoRom aplikace Ace Pro a MBM_BitScan, které úspěšně obešly přísné bezpečnostní protokoly společnosti Apple. Kyberzločinci dříve používali oklikou vedoucí techniky, kdy přesvědčili oběti ke stažení nelegitimních aplikací pro iPhone, které nebyly schváleny obchodem Apple App Store. Sophos okamžitě informoval společnosti Apple a Google, které podvodné aplikace ze svých obchodů s aplikacemi odstranily.
„Obecně platí, že je těžké dostat malware přes proces bezpečnostní kontroly v obchodě Apple App Store. Proto když jsme původně začali vyšetřovat CryptoRom podvody zaměřené na uživatele iOS, museli podvodníci uživatele nejprve přesvědčit, aby si nainstalovali konfigurační profil, a teprve poté mohli nainstalovat falešnou obchodní aplikaci. To samozřejmě zahrnuje další úroveň sociálního inženýrství, kterou je těžké překonat. Mnoho potenciálních obětí by bylo ‘upozorněno‘, že něco není v pořádku, když by si nemohly údajně legitimní aplikaci stáhnout přímo. Tím, že se aplikace dostala do App Storu, podvodníci značně rozšířili okruh svých potenciálních obětí, a to zejména proto, že většina uživatelů už z podstaty společnosti Apple důvěřuje,“ řekl Jagadeesh Chandraiah, senior threat researcher společnosti Sophos. „Obě aplikace také nejsou ovlivněny novým režimem blokování v systému iOS, který podvodníkům brání v načítání mobilních profilů užitečných pro sociální inženýrství. Ve skutečnosti mohou tito CryptoRom podvodníci změnit svou taktiku – tedy zaměřit se na obcházení procesu kontroly App Storu – s ohledem na bezpečnostní funkce režimu blokování.“
Aby podvodníci nalákali oběť, která byla podvedena například s pomocí aplikace Ace Pro, vytvořili a aktivně udržovali falešný facebookový profil a osobu ženy, která údajně žije bohatým životním stylem v Londýně. Po navázání kontaktu s obětí podvodníci navrhli oběti stažení podvodné aplikace Ace Pro a odtud se odvíjel podvod s kryptoměnami.
Aplikace Ace Pro je v obchodě s aplikacemi popisována jako čtečka QR kódů, jedná se ale o podvodnou platformu pro obchodování s kryptoměnami. Po otevření se uživatelům zobrazí obchodní rozhraní, kde mohou údajně vkládat a vybírat měny. Veškeré vložené peníze ale směřují přímo k podvodníkům. Sophos se domnívá, že aby se podvodníci dostali přes zabezpečení App Storu, nechali při úvodním odeslání ke kontrole aplikaci připojit ke vzdálené webové stránce s neškodnými funkcemi. Doména obsahovala QR kód pro naskenování, aby pro recenzenty aplikací vypadala legitimně. Jakmile však byla aplikace schválena, podvodníci ji přesměrovali na doménu registrovanou v Asii. Tato doména odesílá požadavek, na který odpoví obsah z jiného hostitele, který nakonec poskytne falešné obchodní rozhraní.
MBM_BitScan je aplikace pro Android, ale v obchodě Google Play je známá jako BitScan. Obě aplikace komunikují se stejnou infrastrukturou C2 (Command and Control); tato infrastruktura C2 pak komunikuje se serverem, který se podobá legitimní japonské firmě obchodující s kryptoměnami. Veškeré škodlivé chování se řeší ve webovém rozhraní, a proto je pro kontrolory aplikací v Google Play obtížné odhalit, že jde o podvod.
CryptoRom, podskupina rodiny podvodů známých jako sha zhu pan (杀猪盘) – doslova „řeznický špalek na prasata“ – je dobře organizovaná, syndikovaná podvodná operace, která využívá kombinaci sociálního romanticky orientovaného inženýrství, podvodných aplikací a webových stránek pro obchodování s kryptoměnami, aby nalákala oběti a po získání jejich důvěry jim ukradla peníze. Sophos tyto podvody, které vynášejí miliony dolarů sleduje již dva roky a pravidelně o nich informuje.
Více informací o zločincích, kteří stojí za útoky CryptoRom a těmito podvodnými aplikacemi, najdete ve studii „Podvodné obchodní aplikace pronikly do obchodů Apple App Store a Google Play“ na Sophos.com.
Další zdroje
- Podvody typu CryptoRom a jak se zaměřují na uživatele iOS
- Těžba likvidity a jak přispívá ke kryptoměnovým zločinům
- Hrozby a trendy, které budou v roce 2023 ovlivňovat kybernetickou bezpečnost, najdete ve studii Sophos 2022 Threat Report
- Sophos X-Ops a jeho průlomový výzkum hrozeb po registraci k odběru blogu Sophos X-Ops
- Doba pobytu útočníka a přehled taktik, technik a postupů (TTP) v příručce Active Adversary Playbook 2022 společnosti Sophos
Informace o globálním rozšíření a dopadu ransomwaru napříč odvětvími naleznete ve studii State of Ransomware 2022. Novinky a přehledy z oblasti kybernetické bezpečnosti jsou k dispozici i na oceňovaných stránkách Naked Security nebo na webu Sophos News.
# # #
O společnosti Sophos
Sophos je celosvětovým lídrem a inovátorem v oblasti pokročilých řešení kybernetické bezpečnosti, včetně služeb Managed Detection and Response (MDR), služeb reakce na incidenty a širokého portfolia technologií pro zabezpečení koncových bodů, sítí, e-mailů a cloudu, které pomáhají organizacím čelit kybernetickým útokům. Jako jeden z největších poskytovatelů čistě kybernetické bezpečnosti chrání Sophos více než 500 000 organizací a více než 100 milionů uživatelů po celém světě před aktivními protivníky, ransomwarem, phishingem, malwarem a dalšími útoky. Služby a produkty společnosti Sophos se propojují prostřednictvím cloudové konzole pro správu Sophos Central a jsou podporovány týmem Sophos X-Ops, který se zabývá analýzou hrozeb napříč doménami. Analýza Sophos X-Ops optimalizuje celý adaptivní ekosystém kybernetické bezpečnosti Sophos Adaptive Cybersecurity Ecosystem, který zahrnuje centralizované datové jezero využívající bohatou sadu otevřených rozhraní API dostupných zákazníkům, partnerům, vývojářům a dalším dodavatelům kybernetického zabezpečení a informačních technologií. Sophos poskytuje kybernetickou bezpečnost formou služby organizacím, které potřebují plně řízené bezpečnostní řešení na klíč. Zákazníci mohou také spravovat svou kybernetickou bezpečnost přímo pomocí platformy pro bezpečnostní operace společnosti Sophos nebo využít hybridní přístup a doplnit své interní týmy službami společnosti Sophos, včetně vyhledávání hrozeb a jejich nápravy. Sophos sídlí v britském Oxfordu a své produkty prodává prostřednictvím prodejních partnerů a poskytovatelů spravovaných služeb (MSP) po celém světě. Další informace jsou k dispozici na adrese www.sophos.com. Pro novinky z oblasti kyberbezpečnosti sledujte společnost Sophos prostřednictvím kanálů Twitter, LinkedIn, Facebook, Spiceworks, a YouTube.