全部文章分享

Apple App Store的第一個 CryptoRom 詐騙的假 App



          本文擷取自資安人

Sophos最新報告《詐騙 App 潛入 Apple 和 Google 應用程式商店》中,發布了對 CryptoRom 詐騙的最新發現。這是一場精心策劃的金融詐騙,誘使交友 App 的用戶進行假的加密貨幣投資。該報告詳細介紹了首批成功繞過 Apple 嚴格安全控管的假 CryptoRom 應用程式 ─ Ace Pro 和 MBM_BitScan。而在之前,網路罪犯分子只能試圖說服受害者下載未在 Apple App Store 上架的非法 iPhone App。Sophos 立即通知 Apple 和 Google;緊接著兩家公司都從各自的商店中刪除了這些詐騙 App。

Sophos 資深威脅研究員 Jagadeesh Chandraiah 表示:「一般來說,惡意軟體很難通過 Apple App Store 的安全審查流程。這就是為什麼當我們最初開始調查針對 iOS 用戶的 CryptoRom 詐騙時,詐騙者必須先說服用戶先安裝設定檔,然後才能安裝假的交易 App。顯然,這需要一些額外的社交工程手法才行,而且很難達成。當許多潛在受害者無法直接下載一個據稱合法的 App 時,他們會『警覺』到某些事情不對勁。但若將 App 上架到 App Store 上,詐騙分子就能大大增加潛在的受害者對象,因為絕大多數用戶都會信任 Apple。這兩款 App 也不受 iOS 最新鎖定模式的影響,該模式可防止詐騙分子載入用於社交工程的行動設定檔。事實上,CryptoRom 詐騙分子很可能正在根據鎖定模式中的安全功能改變他們的策略,並專心設法繞過 App Store 審查流程。」

例如,為了引誘被 Ace Pro 騙過的受害者,詐騙者會建立並積極維護一個假的 Facebook 帳號,和一個據稱在倫敦過著奢華生活的女性角色。在與受害人搭上線後,騙子會建議受害人下載詐騙 App Ace Pro,然後展開加密貨幣詐騙。

Ace Pro 在應用商店中被歸類於 QR 碼掃描器,但實際上是一個詐騙加密貨幣交易平台。打開這個 App 後,用戶會看到一個可以存取款項的交易介面。但是,任何存入的錢都會直接流向詐騙者。為了繞過 App Store 的安全措施,Sophos 認為詐騙者在 App 最初提交審查時,先將其連線到用途正當的遠端網站。該網域包含用於 QR 掃描的程式碼,因此 App 審核者會認為它是合法的。然而,一旦該 App 獲得核准,詐騙者就會將該 App 重新導向到另一個在亞洲註冊的網域。該網域會發送一個請求,讓來自另一台主機的內容進行回應,最終回傳的是假的交易介面。 

MBM_BitScan 也是適用於 Android 的 App,但它在 Google Play 上被稱為 BitScan。這兩個 App 都使用相同的命令和控制 (C2) 基礎架構進行通訊;然後,此 C2 基礎架構會與類似於日本合法加密公司的伺服器進行通訊。所有其他惡意內容都是經由網頁介面處理,這就是為什麼 Google Play 的程式碼審查人員很難偵測出它是詐騙 App 的原因。

CryptoRom 是被稱為「殺豬盤」詐騙家族的一個子集,其是一個組織嚴密的聯合詐騙活動,結合使用交友社交工程、詐騙性加密貨幣交易 App 和網站,用來引誘受害者並在獲得信任後竊取他們的金錢。兩年來,Sophos 一直在追蹤和回報這些騙取數百萬美元的騙局。