נחשפו 2 אפליקציות זדוניות שלראשונה הצליחו לעקוף מנגנוני אבטחה ובדיקה של חנות App Store
מאת:
מערכת Telecom News, 5.2.23, 14:53
בהונאות הסוג החדש והמתוחכם של הונאות משקיעים ה-CryptoRom, סוג הונאות המכונה בעברית "כצאן לטבח", הפושעים השתמשו בפרופילים מזויפים בפייסבוק ובטינדר. אחת מהן הופיעה גם עבור משתמשי אנדרואיד ב-Google Play.
מצב הנעילה (Lockdown) החדש, שהוצג בגרסה האחרונה של מערכת ההפעלה iOS במטרה לסכל ניסיונות הונאה באמצעות שיטות הנדסה חברתית, לא חסם את 2 האפליקציות האלו.
עדכון בתחתית הכתבה.
סופוס (
Sophos), חברת אבטחת מידע וסייבר וספקית פתרונות אבטחת סייבר כשירות, פרסמה את מחקר
Fraudulent Trading Apps Sneak into Apple and Google App Stores המפרט ממצאים חדשים על הונאות
CryptoRom, סוג חדש ומתוחכם של
הונאות משקיעים, שמטרתן להערים על משתמשי אפליקציות היכרויות להשקיע במטבעות מבוזרים (קריפטוגרפים) דרך אתרי מסחר הנמצאים בשליטת פושעי הסייבר וכך לגנוב את כספם.
אם בעבר השתמשו פושעי סייבר בשיטות של הנדסה חברתית כדי להערים על קורבנותיהם להוריד אפליקציות זדוניות למכשיר האייפון שלהם, שלא קיימות בחנות האפליקציות הרשמית של אפל, המחקר האחרון של החברה חושף בפעם הראשונה מקרים, שבהם הצליחו פושעי הסייבר להתגבר על מנגנוני הבדיקה והאישור ולפרסם 2 אפליקציות זדוניות -
Ace Pro ו-
MBM_BitScan - בחנות האפליקציות
App Store של אפל. החברה עדכנה את אפל וגוגל על הממצאים החדשים והאפליקציות הזדוניות הוסרו מחנויות האפליקציות.
במקרה של הונאת
Ace Pro, יצרו פושעי הסייבר פרופיל מזויף בפייסבוק של אישה מלונדון, שמשתפת באופן קבוע עדכונים על אורח החיים הראוותני שלה, לכאורה, ולאחר שרקמו יחסי ידידות עם הקורבנות ורכשו את אמונם, שכנעו אותם פושעי הסייבר להוריד את אפליקציית
Ace Pro הזדונית ומשם קצרה הדרך לשכנועם להשקיע דרכה במטבעות מבוזרים (קריפטוגרפים) ולגניבת כספם.
א
פליקציית Ace Pro מתוארת בחנות האפליקציות כאפליקציה לסריקת קודי
QR, אבל היא בעצם פלטפורמת מסחר במטבעות מבוזרים (קריפטוגרפים) המופעלת ע"י פושעי הסייבר. עם פתיחתה, מוצג למשתמשים ממשק אופייני של פלטפורמת מסחר, שדרכו יכולים, לכאורה, הקורבנות להשקיע במטבעות מבוזרים (קריפטוגרפים) ולמשוך רווחים, רק שבפועל כל סכום, שאותו הפקידו המשתמשים דרך האפליקציה, עובר ישירות לידיהם של הפושעים.
החברה חושדת, שכדי לעקוף את מנגנוני הבדיקה והאבטחה של חנות האפליקציות
App Store, בשעת הגשת האפליקציה לאישור השתמשו פושעי הסייבר בכתובת אתר לגיטימי, שהכיל קוד מתאים לאפליקציית סריקת קודי
QR כדי לא לעורר את חשדם של הבודקים. מיד עם אישור האפליקציה, שינוי הפושעים את הקישור והפנו את האפליקציה לשם דומיין שנרשם באסיה. שם הדומיין הזה שולח בקשות לשרת שבו מאוחסן הקוד הזדוני והוא מחזיר את ממשק פלטפורמת המסחר המוצג למשתמשים.
במקרה של הונאת
MBM_BitScan, גם משתמשי אנדרואיד על הכוונת. בחנות האפליקציות
Google Play הופיעה האפליקציה תחת השם
BitScan. גם הגרסה לאנדרואיד וגם הגרסה ל־
iOS משתמשות באותה תשתית שליטה ובקרה (
C2), שבתורה מתקשרת עם שרת המתחזה לחברה יפנית לגיטימית למסחר במטבעות מבוזרים (קריפטוגרפים). כל שאר הפעילות הזדונית נעשית דרך ממשק דפדפן המקשה מאוד על בודקי הקוד של
Google Play לאתר את ההונאה והפעילות הזדונית.
הונאות
CryptoRom, או בשמן בסינית 'שה זו פאן' (בתרגום חופשי לעברית: כצאן לטבח), הן הונאות מתוחכמות ומאורגנות המשלבות בין שימוש בהנדסה חברתית באפליקציות היכרויות לאפליקציות ואתרים זדוניים למסחר במטבעות מבוזרים (קריפטוגרפים) כדי לרכוש את אמון הקורבנות, להערים עליהם להשקיע את כספם ולגנוב אותו. החברה עוקבות ומדווחת על ההונאות האלו
שכבר הגיעו להיקף של מיליוני דולרים מזה שנתיים.
ג'אגדיש צ'אנדראיה, חוקר איומים בכיר בסופוס: "לא כל כך פשוט לעקוף את מנגנוני הבדיקה והאבטחה של חנות האפליקציות
App Store. לראייה, כשהתחלנו לחקור לראשונה הונאות
CryptoRom, שכוונו למשתמשי
iOS, שמנו לב, שפושעי הסייבר משתמשים בשיטת הנדסה חברתית כדי לשכנע את המשתמשים להתקין פרופיל הגדרות, שיאפשר להם להתקין את אפליקציית המסחר הזדונית מחוץ לחנות האפליקציות הרשמית של המכשיר שלהם.
מכיוון שההונאה התבססה על שיטות של הנדסה חברתית, מנגנוני האבטחה המסורתיים נותרו חסרי אונים מולה. עם זאת, העובדה שאי אפשר להוריד את האפליקציה הלגיטימית לכאורה מחנות האפליקציות הרשמית של המכשיר שלהם עוררה את חשדם של לא מעט קורבנות וקטעה את ניסיון ההונאה עוד בתחילתו.
הוספת האפליקציה הזדונית לחנות האפליקציות
App Store מאפשרת לפושעי הסייבר להגיע למספר גדול בהרבה של קורבנות אפשריים, מכיוון שרוב המשתמשים בוטחים באפל ובמנגנוני האבטחה והפיקוח בחנות האפליקציות שלה ולכן פחות חושדים בבקשות להוריד אפליקציה מהחנות הרשמית.
זאת ועוד, לא רק שמצב הנעילה (
Lockdown) החדש, שהוצג בגרסה האחרונה של מערכת ההפעלה
iOS במטרה לסכל ניסיונות הונאה באמצעות שיטות הנדסה חברתית, לא חוסם את 2 האפליקציות האלו, ייתכן שהוא מדרבן את נוכלי הונאות ה־
CryptoRom לשנות גישה ולהתמקד בעקיפת מנגנוני הבדיקה, האישור והאבטחה של חנות האפליקציות
App Store כדי להגדיל את סיכויי הצלחת ההונאה".
עדכון 13.2.23: סופוס פרסמה היום מחקר של 2 הונאות
CryptoRom פעילות ונרחבות (המוכרות, כאמור, בסינית בשם 'שה זו פאן' או בתרגום חופשי: פיטום חזירים), שמופעלות ע"י ארגוני פשיעה מאסיה. מדובר בסוג הונאה מתוחכם ומאורגן, שמטרתו לגנוב מהקורבנות סכומים גבוהים. אחד מארגוני הפשיעה פועל מהונג קונג ומפעיל זירה מזויפת למסחר בזהב, בעוד שהארגון השני, שפועל מקמבודיה עם קשרים לארגוני פשיעה מסין, הצליח כבר לגנוב חצי מיליון דולרים במטבעות מבוזרים (קריפטוגרפים) מקורבנות ההונאה תוך חודש אחד בלבד.
ב-2 המקרים טירגטו פושעי הסייבר את
שון גלאגר, חוקר האיומים הראשי בחברה, ישירות בטוויטר ובמסרונים, ולא דרך אפליקציות היכרויות כפי שהיה נהוג עד כה. במחקר הראשון מתוך שניים, שפורסם היום,
Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam, (בעברית: "זהב של שוטים: ניתוח הונאה מסוג 'פיטום חזירים' בזירה מזויפ ת למסחר בזהב) נחשפת דרך הפעולה של ארגון פשיעה מהונג קונג, שממחישה את רמת התחכום, שאליה הגיעו ההונאות מהסוג הזה.