בפעם הראשונה הצליחו לעקוף את מנגנוני הבדיקה והאבטחה של חנות האפליקציות App Store של אפל
הפושעים השתמשו בפרופילים מזוייפים בפייסבוק ובטינדר
סופוס (Sophos), חברת אבטחת המידע והסייבר המובילה וספקית פתרונות אבטחת סייבר כשירות, פרסמה את מחקר Fraudulent Trading Apps Sneak into Apple and Google App Stores המפרט ממצאים חדשים על הונאות CryptoRom, סוג חדש ומתוחכם של הונאות משקיעים שמטרתן להערים על משתמשי אפליקציות היכרויות להשקיע במטבעות מבוזרים (קריפטוגרפים) דרך אתרי מסחר שנמצאים בשליטת פושעי הסייבר וכך לגנוב את כספם.
אם בעבר השתמשו פושעי סייבר בשיטות של הנדסה חברתית כדי להערים על קורבנותיהם להוריד אפליקציות זדוניות למכשיר האייפון שלהם שלא קיימות בחנות האפליקציות הרשמית של אפל, המחקר האחרון של סופוס חושף בפעם הראשונה מקרים שבהם הצליחו פושעי הסייבר להתגבר על מנגנוני הבדיקה והאישור ולפרסם שתי אפליקציות זדוניות – Ace Pro ו־MBM_BitScan – בחנות האפליקציות App Store של אפל. סופוס עדכנה את אפל וגוגל על הממצאים החדשים והאפליקציות הזדוניות הוסרו מחנויות האפליקציות תוך זמן קצר.
"לא כל כך פשוט לעקוף את מנגנוני הבדיקה והאבטחה של חנות האפליקציות App Store. לראייה, כשהתחלנו לחקור לראשונה הונאות CryptoRom שכוונו למשתמשי iOS שמנו לב שפושעי הסייבר משתמשים בשיטת הנדסה חברתית כדי לשכנע את המשתמשים להתקין פרופיל הגדרות שיאפשר להם להתקין את אפליקציית המסחר הזדונית מחוץ לחנות האפליקציות הרשמית של המכשיר שלהם," מסביר ג'אגדיש צ'אנדראיה, חוקר איומים בכיר בסופוס.
"מכיוון שההונאה התבססה על שיטות של הנדסה חברתית, מנגוני האבטחה המסורתיים נותרו חסרי אונים מולה. עם זאת, העובדה שאי אפשר להוריד את האפליקציה הלגיטימית לכאורה מחנות האפליקציות הרשמית של המכשיר שלהם עוררה את חשדם של לא מעט קורבנות וקטעה את ניסיון ההונאה עוד בתחילתו. הוספת האפליקציה הזדונית לחנות האפליקציות App Store מאפשרת לפושעי הסייבר להגיע למספר גדול בהרבה של קורבנות אפשריים, מכיוון שרוב המשתמשים בוטחים באפל ובמנגנוני האבטחה והפיקוח בחנות האפליקציות שלה ולכן פחות חושדים בבקשות להוריד אפליקציה מהחנות הרשמית," צ'אנדראיה. "זאת ועוד, לא רק שמצב הנעילה (Lockdown) החדש שהוצג בגרסה האחרונה של מערכת ההפעלה iOS במטרה לסכל ניסיונות הונאה באמצעות שיטות הנדסה חברתית לא חוסם את שתי האפליקציות האלו, ייתכן שהוא מדרבן את נוכלי הונאות
ה־CryptoRom לשנות גישה ולהתמקד בעקיפת מנגנוני הבדיקה, האישור והאבטחה של חנות האפליקציות App Store כדי להגדיל את סיכויי הצלחת ההונאה."
במקרה של הונאת Ace Pro, יצרו פושעי הסייבר פרופיל מזויף בפייסבוק של אישה מלונדון שמשתפת באופן קבוע עדכונים על אורח החיים הראוותני שלה לכאורה, ולאחר שרקמו יחסי ידידות עם הקורבנות ורכשו את אמונם, שכנעו אותם פושעי הסייבר להוריד את אפליקציית Ace Pro הזדונית ומשם קצרה הדרך לשכנועם להשקיע דרכה במטבעות מבוזרים (קריפטוגרפים) ולגניבת כספם.
אפליקציית Ace Pro מתוארת בחנות האפליקציות כאפליקציה לסריקת קודי QR, אבל היא בעצם פלטפורמת מסחר במטבעות מבוזרים (קריפטוגרפים) המופעלת על ידי פושעי הסייבר. עם פתיחתה, מוצג למשתמשים ממשק אופייני של פלטפורמת מסחר שדרכו יכולים לכאורה הקורבנות להשקיע במטבעות מבוזרים (קריפטוגרפים) ולמשוך רווחים, רק שבפועל כל סכום שאותו הפקידו המשתמשים דרך האפליקציה עובר ישירות לידיהם של הפושעים. סופוס חושדת כי כדי לעקוף את מנגנוני הבדיקה והאבטחה של חנות האפליקציות App Store, בשעת הגשת האפליקציה לאישור השתמשו פושעי הסייבר בכתובת אתר לגיטימי שהכיל קוד מתאים לאפליקציית סריקת קודי QR כדי לא לעורר את חשדם של הבודקים. מיד עם אישור האפליקציה, שינוי הפושעים את הקישור והפנו את האפליקציה לשם דומיין שנרשם באסיה. שם הדומיין הזה שולח בקשות לשרת שבו מאוחסן הקוד הזדוני והוא מחזיר את ממשק פלטפורמת המסחר שמוצג למשתמשים.
במקרה של הונאת MBM_BitScan, גם משתמשי אנדרואיד על הכוונת. בחנות האפליקציות Google Play הופיעה האפליקציה תחת השם BitScan. גם הגרסה לאנדרואיד וגם הגרסה ל־iOS משתמשות באותה תשתית שליטה ובקרה (C2), שבתורה מתקשרת עם שרת המתחזה לחברה יפנית לגיטימית למסחר במטבעות מבוזרים (קריפטוגרפים). כל שאר הפעילות הזדונית נעשית דרך ממשק דפדפן המקשה מאוד על בודקי הקוד של Google Play לאתר את ההונאה והפעילות הזדונית.
הונאות CryptoRom, או בשמן בסינית 'שה זו פאן' (בתרגום חופשי לעברית: כצאן לטבח), הן הונאות מתוחכמות ומאורגנות המשלבות בין שימוש בהנדסה חברתית באפליקציות היכרויות לאפליקציות ואתרים זדוניים למסחר במטבעות מבוזרים (קריפטוגרפים) כדי לרכוש את אמון הקורבנות, להערים עליהם להשקיע את כספם ולגנוב אותו. סופוס עוקבות ומדווחת על ההונאות האלו שכבר הגיעו להיקף של מיליוני דולרים מזה שנתיים.
Learn More About
“CryptoRom” scams and how they target iOS users
Liquidity mining and how it contributes to cryptocurrency crimes
The threat landscape and trends likely to impact cybersecurity in the 2023 Threat Report
Sophos X-Ops and its groundbreaking threat research by subscribing to the Sophos X-Ops blogs
Attacker dwell times and insights into tactics, techniques and procedures (TTPs) in Sophos’ Active Adversary Playbook 2022