Társkeresőn vadásszák áldozataikat a csalók: rengeteg gyanútlant nyúlnak le ezzel a trükkel

Pénzcentrum2023. február 2. 20:18

A Sophos kiberbiztonsági cég CryptoRom csalásokra derített fényt. Ezek olyan pénzügyi csaló sémák, amelyek a társkereső appok felhasználóit zsákmányolják ki úgy, hogy hamis kriptovaluta befektetésekre veszik rá őket. Csalók létrehoztak hamis női Facebook és Tinder profilokat, amelyek kapcsolatot létesítettek férfi felhasználókkal. Arra vették őket rá, hogy töltsenek le bizonyos alkalmazásokat, amelyek révén kriptovaluta kereskedésbe vontak őket be, profitot hazudva nekik. A Binance kriptopiaci platformon betétet hozattak létre a gyanútlan felhasználókkal, majd pénz utalásra kérték őket.

Az alkalmazások az App Store-ban Ace Pro és MBM BitScan, a Play Store-ban pedig BitScan néven futottak. A Sophos azonnal értesítette az Apple-t és a Google-t, amelyek eltávolították a csaló alkalmazásokat az App Store-ból.

A riport címe "Fraudulent Trading Apps Sneak into Apple and Google App Stores”, magyarul “Csaló kereskedelmi alkalmazások jelentek meg az Apple és a Google App Store felületén”. A jelentés részletesen bemutatja az első csaló célú CryptoRom alkalmazásokat - a nevük Ace Pro és MBM_BitScan - amelyek sikeresen megkerülték az Apple szigorú biztonsági protokolljait. Korábban a kiberbűnözők megkerülő technikákat alkalmaztak az áldozatok meggyőzésére, hogy azok kártékony iPhone appokat töltsenek le, amelyek nem rendelkeztek az Apple App Store engedélyével. A Sophos azonnal értesítette az Apple-t és a Google-t, amelyek eltávolították a csaló alkalmazásokat az App Store-ból.

“Általánosságban elmondható, hogy nehéz egy malware-t keresztüljuttatni az Apple App Store biztonsági ellenőrző folyamatán. Ezért, amikor eredetileg elkezdtük vizsgálni az iOS felhasználókat célzó CryptoRom átveréseket, a csalóknak még rá kellett vennie a felhasználókat, hogy először telepítsenek egy konfigurációs profilt, mielőtt hamis kereskedelmi appokat tudnának telepíteni. Értelemszerűen ez magában foglalja a social engineering egy további szintjét - egy olyan szintet, amely nehezen leküzdhető akadályt jelentett a bűnözők számára. Sok potenciális áldozatot “figyelmeztetett” arra, hogy valami nem stimmel, amikor nem tudtak közvetlenül letölteni egy elméletileg legitim applikációt. Azzal, hogy az applikációt bejuttatták az App Store-ba, a csalók jelentősen megnövelték a potenciális áldozatok körét, különösen amiatt, mert a legtöbb felhasználó eredendően megbízik az Apple-ben” - mondta Jagadeesh Chandraiah, a Sophos szenior fenyegetés-kutatója.

Egyik appot sem érinti az iOS új Lockdown módja, amely megakadályozza, hogy a csalók olyan mobilprofilokat töltsenek be, amelyek hasznosak a social engineeringhez. Sőt, ezek a CryptoRom csalók megváltoztathatják a taktikájukat, vagyis az App Store ellenőrző folyamatának megkerülésére összpontosíthatnak, a Lockdown biztonsági funkcióinak fényében

- mondta a szakértő. Például az Ace Proval megtévesztett áldozatok elcsábítása érdekében a csalók létrehoztak és aktívan üzemeltettek egy hamis Facebook profilt és egy perszónát: ez a perszóna egy olyan nő volt, aki elvileg luxusban gazdag életmódot folytat Londonban. Az áldozattal való kapcsolat felépítése után a csalók azt javasolták az áldozatnak, hogy töltse le az ártó célú Ace Pro appot és onnan bontakozott ki a kriptovaluta csalás.

Az app store leírásában a Ace Pro QR-kód leolvasóként szerepel, valójában viszont egy csaló célú kriptokereskedési platform. Megnyitás után a felhasználók egy kereskedési felületet látnak, ahová elvileg pénzt tudnak feltölteni vagy onnan kivenni. Ám a feltöltött összeg mindig közvetlenül a csalókhoz kerül. A Sophos úgy véli, hogy az App Store biztonsági intézkedéseinek megkerülése érdekében a csalók az appot egy ártalmatlan funkciókkal bíró távoli weboldalhoz kapcsolták, amikor eredetileg elküldték ellenőrzésre. A domain tartalmazott kódot a QR-szkenneléshez, hogy az alkalmazásokat ellenőrzők számára legitimnek tűnjön. Az app jóváhagyását követően azonban a csalók átirányították azt egy Ázsiában bejegyzett domainre. Ez a domain egy olyan kérelmet küld, amely egy másik hosztról származó tartalommal válaszol, amely végül a hamis kereskedési felületet biztosítja.

JÓL JÖNNE 2,8 MILLIÓ FORINT?

Amennyiben 2 809 920 forintot igényelnél 5 éves futamidőre, akkor a törlesztőrészletek szerinti rangsor alapján az egyik legjobb konstrukciót, havi 62 728 forintos törlesztővel a CIB Bank nyújtja (THM 12,86%), de nem sokkal marad el ettől az MBH Bank 62 824 forintos törlesztőt (THM 12,86%) ígérő ajánlata sem. További bankok ajánlataiért, illetve a konstrukciók pontos részleteiért (THM, törlesztőrészlet, visszafizetendő összeg, stb.) keresd fel a Pénzcentrum megújult személyi kölcsön kalkulátorát. (x)

Az MBM_BitScan Android-alkalmazásként is jelen van, de a Google Playen Bitscan néven ismert. A két alkalmazás ugyanazzal a Command and Control (C2) vezérlő-infrastruktúrával kommunikál; ez a C2-infrastruktúra pedig egy legitim japán kriptocégre emlékeztető szerverrel folytat adatcserét. Minden más ártó célú műveletet egy webes felületen kezelnek, ami miatt a Google Play kódellenőrzőinek nehéz észlelnie, hogy ez egy csaló eszköz.

A CryptoRom a “sha zhu pan” (杀猪盘) - szó szerint fordítva “disznóvágás” - néven ismert átverések családjába tartozik.

Ez egy jól szervezett, szindikált átveréses művelet, amely társkereső-központú social engineering tevékenységek, csaló kriptokereskedési alkalmazások és olyan weboldalak kombinációját alkalmazza,  amellyel elcsábítják az áldozatokat és ellopják a pénzüket, miután elnyerték a bizalmukat. A Sophos két éve követi nyomon és jelenti ezeket a csalásokat, amelyekkel dollármilliókat szereznek meg az elkövetők.

Tudj meg többet a CryptoRom-kör mögött álló bűnözőkről és ezekről a csaló célú alkalmazásokról a Sophos.com felületén található anyagból, amely itt érhető el: https://news.sophos.com/en-us/2023/02/01/fraudulent-cryptorom-trading-apps-sneak-into-apple-and-google-app-stores/

Címkék:
csalás, csaló, telefon, apple, app, google, csalók, férfiak, alkalmazás, társkereső, kriptovaluta, áldozatok, kripto,