A CryptoRom egy jól szervezett átverés, amely társkereső-központú social engineering tevékenységek, csaló kriptokereskedési alkalmazások és olyan weboldalak kombinációját alkalmazza, amellyel elcsábítják az áldozatokat és ellopják a pénzüket, miután elnyerték a bizalmukat. A Sophos kiberbiztonsági cég két éve követi nyomon és jelenti ezeket a csalásokat, amelyekkel dollármilliókat szereznek meg az elkövetők.

Csalók létrehoztak hamis női Facebook és Tinder profilokat, amelyek kapcsolatot létesítettek férfi felhasználókkal. Arra vették őket rá, hogy töltsenek le bizonyos alkalmazásokat, amelyek révén kriptovaluta kereskedésbe vonták be őket nyereséget ígérve.

A Binance kriptopiaci platformon betétet hozattak létre a gyanútlan felhasználókkal, majd pénz utalásra kérték őket. Az alkalmazások az App Store-ban Ace Pro és MBM BitScan, a Play Store-ban pedig BitScan néven futottak.

Értesítették az Apple-t és a Google-t

A jelentés, melynek címe Csaló kereskedelmi alkalmazások jelentek meg az Apple és a Google App Store felületén, részletesen bemutatja az első csaló célú CryptoRom alkalmazásokat – Ace Pro és MBM BitScan –, amelyek sikeresen megkerülték az Apple szigorú biztonsági protokolljait.

Korábban a kiberbűnözők megkerülő technikákat alkalmaztak az áldozatok meggyőzésére, hogy azok kártékony iPhone appokat töltsenek le, amelyek nem rendelkeztek az Apple App Store engedélyével.

A Sophos azonnal értesítette az Apple-t és a Google-t, amelyek eltávolították a csaló alkalmazásokat az App Store-ból.

Azzal, hogy az applikációt bejuttatták az App Store-ba, a csalók jelentősen megnövelték a potenciális áldozatok körét, különösen amiatt, mert a legtöbb felhasználó eredendően megbízik az Apple-ben.

Megkerülik a biztonsági ellenőrző rendszert

Egyik appot sem érinti az iOS új Lockdown módja, amely megakadályozza, hogy a csalók olyan mobilprofilokat töltsenek be, amelyek hasznosak a social engineeringhez. Sőt, ezek a CryptoRom csalók megváltoztathatják a taktikájukat, vagyis az App Store ellenőrző folyamatának megkerülésére összpontosíthatnak, a Lockdown biztonsági funkcióinak fényében.

Például az Ace Proval megtévesztett áldozatok elcsábítása érdekében a csalók létrehoztak és aktívan üzemeltettek egy hamis Facebook profilt és egy perszónát: ez a perszóna egy olyan nő volt, aki elvileg luxusban gazdag életmódot folytat Londonban. Az áldozattal való kapcsolat felépítése után a csalók azt javasolták az áldozatnak, hogy töltse le az ártó célú Ace Pro appot és onnan bontakozott ki a kriptovaluta csalás.

Az app store leírásában a Ace Pro QR-kód leolvasóként szerepel, valójában viszont egy csaló célú kriptokereskedési platform. Megnyitás után a felhasználók egy kereskedési felületet látnak, ahová elvileg pénzt tudnak feltölteni vagy onnan kivenni, ám a feltöltött összeg mindig közvetlenül a csalókhoz kerül.

A Sophos szerint az App Store biztonsági intézkedéseinek megkerülése érdekében a csalók az appot egy ártalmatlan funkciókkal bíró távoli weboldalhoz kapcsolták, amikor eredetileg elküldték ellenőrzésre. A domain tartalmazott kódot a QR-szkenneléshez, hogy az alkalmazásokat ellenőrzők számára legitimnek tűnjön. Az app jóváhagyását követően azonban a csalók átirányították azt egy Ázsiában bejegyzett domainre. Ez a domain egy olyan kérelmet küld, amely egy másik hosztról származó tartalommal válaszol, amely végül a hamis kereskedési felületet biztosítja.

Az MBM_BitScan Android-alkalmazásként is jelen van, de a Google Playen Bitscan néven ismert. A két alkalmazás ugyanazzal a Command and Control (C2) vezérlő-infrastruktúrával kommunikál; ez a C2- infrastruktúra pedig egy legitim japán kriptocégre emlékeztető szerverrel folytat adatcserét. Minden más ártó célú műveletet egy webes felületen kezelnek, ami miatt a Google Play kódellenőrzőinek nehéz észlelnie, hogy ez egy csaló eszköz.