Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Криптомошеннические приложения проникли в официальные магазины Google и Apple

03/02/23

Создатели высокодоходных инвестиционных афёр под названием «разделка свиньи» («The Pig-Butchering Scum»), нашли способ обойти защиту магазинов приложений Google Play и Apple App Store.

Мошенничество методом «разделка свиньи» происходит уже не первый год. Злоумышленники используют поддельные веб-сайты, вредоносную рекламу и социальную инженерию. А загружая мошеннические приложения в официальные магазины, им ещё проще завоевать доверие жертвы.

Исследователи из компании по кибербезопасности Sophos говорят, что киберпреступники нацелены на жертв в популярных социальных сетях. Они убеждают их загрузить мошеннические приложения и «вкладывать» большие суммы денег в активы, которые, по их словам, являются реальными. В основном мошенники дурачат мужчин, используя фейковые женские профили Facebook* и Tinder. Об этом пишет Securitylab.

ShaZhuPan — хакерская группировка из Китая, которая ведёт эту мошенническую кампанию. Она демонстрирует очень высокий уровень организации. Отдельные команды в ней занимаются взаимодействией с жертвами, отдельные — финансами, франчайзингом и отмыванием денег.

Профили, контролируемые мошенниками, создаются с учетом роскошного образа жизни, с фотографиями дорогих ресторанов, магазинов и экзотических мест. Видимо, так злоумышленники привлекают состоятельных мужчин.

После завоевания доверия жертвы мошенники говорят, что у них есть родственник, работающий в фирме по финансовому анализу. Убеждают, что на этом можно неплохо заработать, и приглашают жертву торговать криптовалютой через приложение из Play Store или App Store.

Мошенники инструктируют жертву, как создать счёт на платформе обмена криптовалютами Binance, пополнить баланс, а затем перевести вложенную сумму в поддельное приложение.

Вредоносные приложения, используемые в кампании, которую наблюдала Sophos, называются «Ace Pro» и «MBM_BitScan» в Apple App Store, а также «BitScan» в Play Store.

k8n4h73j8s3to4fdncezqq7lg8wm1hyj

На первых порах данные приложения позволяют жертве выводить небольшие суммы криптовалюты, но затем блокируют их учетные записи, когда суммы становятся больше. Первоначального вывода средств, как правило, достаточно, чтобы жертвы доверяли схеме и продолжали инвестировать.

Метод, используемый для обхода проверок безопасности в магазинах мобильных приложений, довольно прост. Для проникновения в App Store банда ShaZhuPan отправляет приложение, подписанное действительным сертификатом, выданным Apple, что является главным требованием для любого кода, который будет принят в репозиторий iOS. Поначалу приложение подключается к безопасному серверу, и его поведение не является подозрительным. Но после прохождения проверки разработчик меняет домен, и приложение подключается уже к вредоносному серверу.

wc8bpsm1z8ra3y6fpllrw5ybg68lciiq

После запуска приложения жертва видит интерфейс для торговли криптовалютами, доставленный с вредоносного сервера. Однако вся отображаемая информация является поддельной, за исключением счёта пользователя.

Исследователи Sophos обнаружили, что приложения BitScan для Android и iOS имеют разные названия поставщиков, но взаимодействуют с одним и тем же сервером управления, который, по-видимому, выдает себя за bitFlyer — законную компанию по обмену криптовалютами в Японии.

Поскольку эти приложения загружаются только небольшим количеством целевых пользователей, о них не сообщается как о массовом мошенничестве, что увеличивает время, необходимое на их идентификацию и удаление из магазина.

Мошенничество методом «разделка свиньи» приносит высокую прибыль за короткое время, поэтому мошенники мотивированы тратить немало времени и усилий, чтобы завоевать доверие своих жертв посредством длительного общения.

Такое длительное взаимодействие, первоначальный вывод средств и убедительный интерфейс поддельных приложений затрудняют понимание самого факта мошенничества.

Sophos также отмечает, что появление и популяризация финансово-технической отрасли дополнительно укрепило доверие людей к подобным программным инструментам. А когда приложения загружаются из официальных магазинов Apple и Google, у жертв практически не возникает сомнений об их законности и безопасности.

Чтобы не попасть в подобную ситуацию, перед установкой любого приложения на свой смартфон рекомендуется ознакомиться с отзывами других пользователей, политикой конфиденциальности, сведениями о разработчике/издателе и поискать информацию о компании в интернете.

Темы:криптовалютыПреступленияGoogle PlaySophosфальшивые приложенияpig-butchering-scam
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...