Sophos最新發表的研究報告《潛藏Apple及Google等應用程式商店的投資交易詐騙應用程式》中,揭示一宗誘使受害人進行虛假加密貨幣投資的金融詐騙案。
過往,網絡犯罪分子只能試圖說服受害者,下載未能於Apple App Store上架的應用程式,而報告便詳細分析了首宗成功繞過Apple嚴格安全協定的虛假CryptoRom應用程式 ── Ace Pro和MBM _BitScan。Sophos已即時通知Apple和Google,而兩間公司均已把相關虛假應用程式從商店中下架。
Sophos 資深威脅研究員 Jagadeesh Chandraiah 表示:「惡意軟件一般難以繞過Apple App Store的安全審查程序。我們最初針對iOS用戶調查CryptoRom時,詐騙者必須先說服用戶安裝描述檔,才能下載虛假交易應用程式。當無法從正當途徑下載應用程式時,許多潛在受害者都會提高警覺。由此可見,詐騙者即使花費額外時間於社交工程,但卻難以成功。雖然iOS系統最新的鎖定模式可防止詐騙者下載用於社交工程的移動設定檔,但該兩款應用程式均不會受到該功能所限制。加密交易詐騙分子可根據鎖定模式中的安全性能,繼而改變策略,並專注繞過App Store的審查流程。」
利用正當遠程網頁瞞天過海
當中,詐騙者為誘使曾於Ace Pro受騙的用戶,他們虛構一位在倫敦過著奢華生活的女性身份,並創建和積極經營一個虛假的Facebook帳戶。當與受害人成功聯繫後,詐騙者將建議受害人下載Ace Pro虛假應用程式,然後展開加密貨幣詐騙。
Ace Pro於應用程式商店中被界定為二維碼掃描器,但實際上是一個詐騙加密貨幣交易平台。用戶打開應用程式後,可以看到一個存取款項的交易介面,然而任何存款都會直接落入騙徒手中。
為繞過App Store的安全審查,Sophos認為詐騙者在最初提交應用程式作審查時,先連接至正當的遠程網頁。由於該域名包含用於二維碼掃描的程式碼,令應用程式審查員誤以為合法,但當應用程式一旦獲得批准,詐騙者將把應用程式重新導向至另外一個亞洲註冊的域名。然後,該域名將發送請求,並以另外一部主機來處理相關內容,而最終提供虛假的交易介面。
操控加密貨幣交易進行詐騙
MBM_BitScan亦同時兼容Android應用程式,但它在Google Play的名稱則為BitScan。這兩款應用程式均使用相同的命令和控制(C2基礎設施)來進行通訊。當C2基礎設施在進行通訊時,其伺服器與一間正當的日本加密公司大同小異,而所有惡意內容將於網絡介面中進行,因此Google Play的程式碼審查人員難以辨別其真偽。
CryptoRom為大型詐騙集團的附屬組織,普遍被坊間稱為「殺豬盤」。透過不時策劃各類型的詐騙活動,該組織結合以情感主導的社交工程及詐騙加密貨幣交易應用程式及網站,從而獲取受害者的信任並竊取金錢。