נחשפו שתי אפליקציות סלולר זדוניות להונאות קריפטו
האפליקציות הצליחו, בראשונה, לעקוף את מנגנוני האבטחה בחנות ה-App Store של אפל ● לפי סופוס, שגילתה את האפליקציות, הפושעים השתמשו בפרופילים מזויפים בפייסבוק ובטינדר
נחשפו שתי אפליקציות זדוניות להונאות CryptoRom, אשר בפעם הראשונה הצליחו לעקוף את מנגנוני הבדיקה והאבטחה של חנות האפליקציות App Store של אפל. את האפליקציות גילו חוקרי סופוס (Sophos).
המחקר מפרט ממצאים חדשים על הונאות CryptoRom – סוג חדש ומתוחכם של הונאות משקיעים, שמטרתן להערים על משתמשי אפליקציות היכרויות להשקיע במטבעות קריפטוגרפיים, דרך אתרי מסחר שנמצאים בשליטת פושעי הסייבר – וכך לגנוב את כספם.
לפי חוקרי סופוס, בעבר השתמשו פושעי סייבר בשיטות של הנדסה חברתית, כדי להערים על קורבנותיהם להוריד אפליקציות זדוניות למכשיר ה-iPhone שלהם – אפליקציות שלא קיימות בחנות האפליקציות הרשמית של אפל. לפי המחקר החדש, זו הפעם הראשונה שמתגלים מקרים בהם הצליחו פושעי הסייבר להתגבר על מנגנוני הבדיקה והאישור של חנות האפליקציות App Store של אפל. לאחר שעקפו מנגנונים אלה, ההאקרים פרסמו את שתי האפליקציות הזדוניות Ace Pro ו-MBM_BitScan שמן.
חוקרי סופוס עדכנו את אפל וגוגל על הממצאים החדשים והאפליקציות הזדוניות הוסרו מחנויות האפליקציות בתוך זמן קצר.
הונאות "כצאן לטבח"
הונאות CryptoRom – או בשמן בסינית, "שה זו פאן", שבתרגום חופשי לעברית משמען "כצאן לטבח" – הן הונאות מתוחכמות ומאורגנות. הן משלבות בין שימוש בהנדסה חברתית באפליקציות היכרויות לאפליקציות ואתרים זדוניים למסחר במטבעות קריפטוגרפיים, כדי לרכוש את אמון הקורבנות, להערים עליהם להשקיע את כספם ולגנוב אותו.
לדברי ג'אגדיש צ'אנדראיה, חוקר איומים בכיר בסופוס, "לא כל כך פשוט לעקוף את מנגנוני הבדיקה והאבטחה של חנות האפליקציות של אפל. לראייה, כשהתחלנו לחקור בראשונה הונאות CryptoRom שכוונו למשתמשי iOS שמנו לב שפושעי הסייבר משתמשים בשיטת הנדסה חברתית כדי לשכנע את המשתמשים להתקין פרופיל הגדרות, שיאפשר להם להתקין את אפליקציית המסחר הזדונית מחוץ לחנות האפליקציות הרשמית של המכשיר שלהם".
צ'אנדראיה הסביר כי "כיוון שההונאה התבססה על שיטות של הנדסה חברתית, מנגנוני האבטחה המסורתיים נותרו חסרי אונים מולה. עם זאת, העובדה שאי אפשר להוריד את האפליקציה, הלגיטימית לכאורה, מחנות האפליקציות הרשמית של המכשיר שלהם, עוררה את חשדם של לא מעט קורבנות וקטעה את ניסיון ההונאה עוד בתחילתו. הוספת האפליקציה הזדונית לחנות האפליקציות של אפל, מאפשרת לפושעי הסייבר להגיע למספר גדול בהרבה של קורבנות אפשריים. זאת כיוון שרוב המשתמשים בוטחים באפל ובמנגנוני האבטחה והפיקוח בחנות האפליקציות שלה, ולכן פחות חושדים בבקשות להוריד אפליקציה מהחנות הרשמית".
"זאת ועוד", הוסיף החוקר, "לא רק שמצב הנעילה (Lockdown) החדש שהוצג בגרסה האחרונה של מערכת ההפעלה iOS – במטרה לסכל ניסיונות הונאה באמצעות שיטות הנדסה חברתית – לא חוסם את שתי האפליקציות האלו, ייתכן שהוא מדרבן את נוכלי הונאות ה-CryptoRom לשנות גישה ולהתמקד בעקיפת מנגנוני הבדיקה, האישור והאבטחה של חנות האפליקציות, כדי להגדיל את סיכויי הצלחת ההונאה".
במקרה של הונאת Ace Pro, פושעי הסייבר יצרו פרופיל מזויף בפייסבוק, של אישה מלונדון, המשתפת באופן קבוע עדכונים על אורח החיים הראוותני שלה, לכאורה. לאחר שההאקרים רקמו יחסי ידידות עם הקורבנות ורכשו את אמונם, שכנעו אותם פושעי הסייבר להוריד את אפליקציית Ace Pro הזדונית, ומשם קצרה הדרך לשכנועם להשקיע דרכה במטבעות קריפטו ולגנוב את כספם.
Ace Pro מתוארת בחנות האפליקציות כאפליקציה לסריקת קודי QR – אבל היא בעצם פלטפורמת מסחר במטבעות קריפטוגרפיים, שמופעלת על ידי פושעי הסייבר. עם פתיחתה, מוצג למשתמשים ממשק אופייני של פלטפורמת מסחר, שדרכו יכולים לכאורה הקורבנות להשקיע במטבעות קריפטו ולמשוך רווחים, רק שבפועל כל סכום שאותו הפקידו המשתמשים דרך האפליקציה עובר ישירות לידי הפושעים.
במקרה של הונאת MBM_BitScan – גם משתמשי אנדרואיד היו על הכוונת. בחנות האפליקציות Google Play, הופיעה האפליקציה תחת השם BitScan. גם הגרסה לאנדרואיד וגם הגרסה ל־iOS משתמשות באותה תשתית שליטה ובקרה (C2) – שבתורה מתקשרת עם שרת המתחזה לחברה יפנית לגיטימית למסחר במטבעות קריפטו. שאר הפעילות הזדונית נעשית דרך ממשק דפדפן, המקשה מאוד על בודקי הקוד של Google Play לאתר את ההונאה.
תגובות
(0)