Sophos’taki araştırmacılar tarafından sözde bir CyptoRom dolandırıcılığına karıştığı tespit edildikten sonra, Apple ve Google’ın mobil uygulama mağazalarından indirmeleri korumak için koyduğu korumaları atlayabilen iki sahte kripto para birimi yatırım uygulaması kaldırıldı.
Bugün yayınlanan bir raporda, Sophos’un kıdemli tehdit araştırmacısı Jagadeesh Chandraiah, iki kötü amaçlı uygulamanın, olduklarından farklı bir şeymiş gibi davranarak Apple ve Google moderatörlerinin boncuk gözlerinden nasıl gizlice geçebildiklerini açıkladı.
Ace Pro ve MBM_BitScan olarak adlandırılan iki uygulamanın her ikisi de, kurbanlarını tuzağa düşürmek ve onları sahte kripto para birimi yatırımları yapmaları için kandırmak için duygusal tuzaklar kullanan flört uygulaması kullanıcılarını besleyen ayrıntılı bir finansal dolandırıcılık türü olan CryptoRom dolandırıcılığında kullanılmak üzere geliştirildi. .
Uygulamaların Apple ve Google’ın mağaza vitrinlerinde görünmesinin dikkate değer bir olay olduğunu, çünkü bunun genellikle başarılması oldukça zor bir başarı olduğunu açıkladı.
Chandriah, “Genel olarak, kötü amaçlı yazılımları Apple App Store’daki güvenlik incelemesi sürecinden geçirmek zordur,” dedi. “Bu nedenle, iOS kullanıcılarını hedef alan CryptoRom dolandırıcılıklarını ilk başta araştırmaya başladığımızda, dolandırıcıların kullanıcıları sahte ticaret uygulamasını yüklemeden önce bir yapılandırma profili yüklemeye ikna etmesi gerekiyordu.
“Bu açıkça, ek bir sosyal mühendislik düzeyi içeriyor – bu, aşılması zor bir düzey,” diye ekledi. “Pek çok potansiyel kurban, yasal olduğu varsayılan bir uygulamayı doğrudan indiremediklerinde bir şeylerin doğru olmadığına dair ‘uyarılır’.
“Dolandırıcılar, App Store’a bir uygulama alarak potansiyel kurban havuzlarını büyük ölçüde artırdı, özellikle de çoğu kullanıcı doğası gereği Apple’a güvendiğinden.”
Mağaza inceleme süreçlerini atlamak
Apple söz konusu olduğunda, uygulamaların görünüşe göre yakın zamanda başlatılan iOS Kilitleme Modu özelliğinden etkilenmediğini ekledi; bu özelliğin bir işlevi, dolandırıcıların sosyal mühendislik için yararlı mobil profiller yüklemesini engellemektir. Bu aslında kötü amaçlı yazılım yazarlarının neden dikkatlerini mağaza inceleme süreçlerini atlamaya çevirdiğini açıklayabilir.
İlk uygulama olan Ace Pro, uygulama mağazasında bir QR kod tarayıcı olarak tanımlanıyor, ancak açıldığında kullanıcılar kripto para yatırmak ve çekmek için bir ticaret arayüzü görecekler – bu aslında sadece dolandırıcılara para göndermenin bir yolu.
Geliştiricilerin, mağaza güvenliğini aşmak için, gözden geçirme için gönderdiklerinde uzak bir web sitesine zararsız işlevlerle bağlandığı bir işlevsellik kodladığından şüpheleniliyor. Alan, gerçekten de QR taramasıyla ilgili olan ve onu meşru göstermiş olabilecek kod içeriyordu. Onaylandıktan sonra, uygulamayı sahte ticaret arayüzünü sunmak için üçüncü bir ana bilgisayarla iletişim kuran başka bir alana yönlendirmiş görünüyorlar.
Google Play’de bulunduğunda BitScan olarak da bilinen MBM_BitScan, önce bir komuta ve kontrol (C2) altyapısıyla iletişim kurduğu ve ardından Japonya merkezli meşru bir kripto şirketine benzeyen bir sunucuya çağrı yaptığı için benzer taktikler kullanır. Kötü amaçlı etkinliğin kendisi bu noktada bir web arayüzünde işleniyor ve uygulamanın kendisi herhangi bir kırmızı bayrak uyandırmak için çok az şey yaptığı için denetleme sürecinden bu şekilde geçmiş gibi görünüyor.
2022 sonbaharında Sophos tarafından gözlemlenen bir vakada, Ace Pro’yu çalıştıran dolandırıcılar, Londra’da yaşayan sözde zengin bir kadın için ikna edici bir sahte Facebook profili oluşturdu. Bu kişi, kurbanlarını lüks restoranlardaki yemekler ve lüks mağazalardaki alışveriş çılgınlıkları da dahil olmak üzere – muhtemelen internetten çalınmış – cömert yaşam tarzının fotoğraflarıyla cezbetti. Olayları güncel tutmak için, persona profilini Kraliçe II. Elizabeth’in ölümü gibi güncel olaylara atıfta bulunan haberlerle sık sık güncelledi ve illüzyonu sürdürmek için Birleşik Krallık merkezli çeşitli işletmeleri ve kuruluşları beğendi ve takip etti.
Dolandırıcılar, iyi bir şey bulduğunu sanan bir kurbanla başarılı bir şekilde yakınlık kurduktan sonra, onlara kadının amcasının bir finansal analiz firmasında çalıştığını söylediler ve onları Ace Pro uygulaması aracılığıyla onunla kripto para ticareti yapmaya davet ettiler. Uygulamayla nasıl “yatırım yapacaklarına” ilişkin ayrıntılı talimatlar göndererek, önce Binance kripto para borsasına, oradan da sahte uygulamaya para aktarmalarını söylediler.
Bu durumda, kurban ilk başta Ace Pro’yu kullanarak küçük miktarlarda kripto para birimi çekebildi, ancak daha sonra, daha fazla para çekmeye çalıştıklarında, hesap aniden kilitlendi ve bir müşteri destek temsilcisi – gerçekte dolandırıcılar – fonlarına erişmek için %20 ücret ödemeleri gerektiğini söylediler.
Domuz kesimi
Ace Pro ve MBM_BitScan aracılığıyla yürütülenler gibi CryptoRom dolandırıcılıkları, sonuç olarak, Çince sha zhu pan (杀猪盘) teriminden çevrilen, domuz kesme plakası olarak bilinen daha geniş bir dolandırıcılık ailesinin bir parçasını oluşturur.
Genellikle Çin’den ve bazen Tayvan’dan kaynaklanırlar ve Covid öncesi büyük ölçüde kumara odaklanırlar. Ancak pandemi sırasında operatörleri küresel olarak genişlemeye başladı ve hileli döviz ve kripto ticaretine dönüştü. Artık çoğu kişi, kurbanlarını cezbetmek ve güvenlerini kazandıktan sonra paralarını çalmak için romantizm temalı sosyal mühendislik ve sahte kripto uygulamalarının bir kombinasyonuna güveniyor.
Sophos’a göre Çinli yetkililerin bu tür faaliyetlere yönelik baskıları, operatörlerin çoğunun Asya-Pasifik bölgesindeki daha yumuşak yargı bölgelerine taşınmasına neden oldu ve Kamboçya özellikle tercih ediliyor.
Bu tür dolandırıcılıklar, meşru bir işletmeyi anımsatan bir yapıyla, kara paranın denetlenmesi ve aklanmasından sorumlu bir merkez ofisi ve web sitelerini ve uygulamaları, finansmanı ve en altta yer alan kendi organizasyon yapılarına sahip olan bağlı gruplara taşeronluk işlemleri ile iyi organize edilmiştir. kazık, sonunda kurbanlarla etkileşime girecek olan klavye savaşçıları.
Ayrıca, Kamboçya’nın Özel Ekonomik Bölgelerinde yüksek maaşlı işler vaat edilen, ancak ülkeye vardıklarında pasaportları alınan düşük seviyeli operatörlerin çoğunun insan kaçakçılığının kurbanı olduğuna dair endişe verici kanıtlar var. Çalışmayı reddederlerse veya kaçmaya çalışırlarsa şiddete maruz kalabilirler.
Onlara uygulanan aşağılayıcı isme ve onları naif ya da aptal olarak görme eğilimine rağmen, hemen hemen herkes için domuz kesme dolandırıcılığının kurbanı olmak kolaydır. Sophos’un araştırmacıları birkaç kurbanla konuşabildi ve onların genel olarak mantıklı ve iyi eğitimli insanlar olduğunu gördü. Beklenebileceği gibi hepsi erkek değildi.
Ortak noktaları, duygusal kırılganlık gibi özelliklerdi – birçoğu yakın zamanda yas, boşanma veya hastalık gibi insanları dolandırıcılığa yönlendirilmeye karşı daha duyarlı hale getirebilecek büyük bir yaşam değişikliği geçirmişti.
Domuz kasap dolandırıcıları, onunkine ek olarak, kurbanlarıyla etkileşimde bulunmak için harcadıkları sürenin uzunluğuna, genellikle aylarca ve paralarını yatırdıklarını kanıtlamak için sahte ekran görüntüleri oluşturmak gibi diğer güven oluşturma yöntemlerine güvenme eğilimindedir. Bu durumda, insanların Apple App Store ve Google Play Store’un güvenli olduğuna dair doğuştan gelen güveniyle oynamak.
Kurbana dolandırıcılığın başlangıcında küçük bir miktar parayı geri alma yeteneği vermek, daha büyük zenginliklerin geleceğine dair bir söz olarak, aynı zamanda çevrimdışı bir saadet zincirinde güven inşa etmek için kullanılan yaygın bir taktiktir ve muhtemelen burada bir rol oynamıştır.