Operatorzy wysokodochodowych oszustw inwestycyjnych, znanych jako „rzeź świń”, znaleźli sposób na ominięcie zabezpieczeń w Google Play i Apple App Store, oficjalnych repozytoriach aplikacji na Androida i iOS.

Oszustwa związane z ubojem świń mają miejsce od kilku lat. Używają fałszywych stron internetowych, złośliwych reklam i inżynierii społecznej. Dodając fałszywe aplikacje do oficjalnych platform pobierania, oszuści mogą łatwiej zdobyć zaufanie ofiary.

Badacze z firmy Sophos zajmującej się cyberbezpieczeństwem twierdzą, że oszuści atakują ofiary na Facebooku lub Tinderze i przekonują je do pobrania fałszywych aplikacji i „zainwestowania” dużych kwot pieniędzy w aktywa rzekomo prawdziwe.

Sophos obserwował taką kampanię z chińskiej grupy zagrożeń o nazwie „ShaZhuPan”, która wykazuje wysoki poziom organizacyjny z odrębnymi zespołami zajmującymi się interakcją z ofiarami, finansami, franczyzą i praniem brudnych pieniędzy.

Zbliżanie się do ofiar

Wydaje się, że oszuści atakują użytkowników płci męskiej za pośrednictwem Facebooka i Tindera, wykorzystując profile kobiet ze skradzionymi obrazami z innych kont w mediach społecznościowych.

Profile kontrolowane przez oszustów zostały zbudowane tak, aby odzwierciedlały wystawny styl życia, ze zdjęciami ekskluzywnych restauracji, drogich sklepów i egzotycznych miejsc.

Po zdobyciu zaufania ofiar oszuści mówią, że mają wujka pracującego w firmie zajmującej się analizami finansowymi i wysyłają zaproszenie do handlu kryptowalutami za pośrednictwem aplikacji w Sklepie Play lub App Store. Oczywiście ofiara jest kierowana do fałszywej aplikacji.

Oszuści przeprowadzają ofiarę przez pierwszą inwestycję, instruując ją, aby założyła depozyt na legalnej platformie wymiany kryptowalut Binance, a następnie przelała kwotę do fałszywej aplikacji.

Aplikacje do „uboju świń”.

Złośliwe aplikacje wykorzystywane w kampanii, którą zaobserwował Sophos, noszą nazwy „Ace Pro” i „MBM_BitScan” w Apple App Store oraz „BitScan” w Play Store.

Aplikacje początkowo pozwalają ofierze wypłacić niewielkie kwoty kryptowaluty, ale następnie blokują ich konta, gdy w grę wchodzą większe kwoty. Jednak początkowa wypłata wystarczy, aby ofiary zaufały programowi i dalej inwestowały.

Metoda używana do obejścia kontroli bezpieczeństwa w sklepach z aplikacjami mobilnymi jest dość prosta. W celu infiltracji App Store gang ShaZhuPan przesyła aplikację podpisaną ważnym certyfikatem wydanym przez Apple, co jest warunkiem przyjęcia dowolnego kodu do repozytorium iOS.

Do czasu uzyskania zatwierdzenia aplikacja łączy się z nieszkodliwym serwerem, a jej zachowanie jest zgodne z prawem. Po przejściu weryfikacji programista zmienia domenę, a aplikacja łączy się ze złośliwym serwerem.

Po uruchomieniu aplikacji ofiara widzi interfejs handlu kryptowalutami dostarczany ze szkodliwego serwera. Jednak wszystko, co jest wyświetlane, jest fałszywe, z wyjątkiem depozytu użytkownika.

Badacze Sophos odkryli, że aplikacje BitScan na Androida i iOS mają inną nazwę dostawcy, ale komunikują się z tym samym serwerem dowodzenia i kontroli z domeny, która wydaje się podszywać pod bitFlyer, legalną firmę zajmującą się wymianą kryptowalut w Japonii.

Ponieważ aplikacje te są pobierane tylko przez niewielką liczbę docelowych użytkowników, nie są masowo zgłaszane jako oszustwa, co utrudnia recenzentom bezpieczeństwa w sklepach z aplikacjami zidentyfikowanie ich jako fałszywych i usunięcie ich.

Nie daj się oszukać

Oszustwa związane z ubojem świń przynoszą wysokie zyski w krótkim czasie, więc oszuści są zmotywowani do poświęcenia czasu i wysiłku, aby zdobyć zaufanie swoich ofiar poprzez szeroko zakrojoną komunikację.

To długotrwałe zaangażowanie, początkowe wycofanie i przekonujący interfejs w fałszywych aplikacjach utrudniają ofierze przejrzenie oszustwa.

Sophos zwraca również uwagę, że pojawienie się „FinTech” znormalizowało zaufanie ludzi do tych narzędzi programowych, a gdy aplikacje pochodzą z oficjalnych sklepów Apple i Google, poczucie legalności jest wysokie.

Przed zainstalowaniem jakiejkolwiek aplikacji na smartfonie zaleca się sprawdzenie recenzji innych użytkowników, polityki prywatności, danych programisty/wydawcy oraz wyszukanie informacji o firmie.