CryptoRom 是被稱為「殺豬盤」詐騙家族的一個子集,其是一個組織嚴密的聯合詐騙活動,結合使用交友社交工程、詐騙性加密貨幣交易 App 和網站,用來引誘受害者並在獲得信任後竊取他們的金錢。兩年來,全球網路資安供應商Sophos 持續不間斷地追蹤與回報這些被CryptoRom所騙取高達數百萬美元的騙局。
二月份Sophos發布最新報告《詐騙 App 潛入 Apple 和 Google 應用程式商店》中,提出針對 CryptoRom 詐騙的最新發現。一場精心策劃的金融詐騙,誘使交友 App 的用戶進行假的加密貨幣投資,該報告詳細介紹了首批成功繞過 Apple 嚴格安全控管的假 CryptoRom 應用程式 ─ Ace Pro 和 MBM_BitScan。在之前,網路罪犯分子只能試圖說服受害者下載未在 Apple App Store 上架的非法 iPhone App。緊接著,Sophos 立即通知 Apple 和 Google;緊接著兩家公司都從各自的商店中刪除了這些詐騙 App。
社交工程手法進一步誘騙
Sophos 資深威脅研究員 Jagadeesh Chandraiah 表示,一般來說,惡意軟體很難通過 Apple App Store 的安全審查流程。這就是為什麼當我們最初開始調查針對 iOS 用戶的 CryptoRom 詐騙時,詐騙者必須先說服用戶先安裝設定檔,然後才能安裝假的交易 App。顯然,這需要一些額外的社交工程手法才行,且不易達成。當許多潛在受害者無法直接下載一個據稱合法的 App 時,他們會『警覺』到某些事情不對勁,但若將 App 上架到 App Store 上,詐騙分子就能大大增加潛在的受害者對象,因為絕大多數用戶都會信任 Apple。
這兩款 App 也不受 iOS 最新鎖定模式的影響,該模式可防止詐騙分子載入用於社交工程的行動設定檔。事實上,CryptoRom 詐騙分子很可能正在根據鎖定模式中的安全功能改變他們的策略,並專心設法繞過 App Store 審查流程。例如,詐騙分子為了引誘被 Ace Pro 騙過的受害者,詐騙者會建立並積極維護一個假的 Facebook 帳號,和一個據稱在倫敦過著奢華生活的女性角色。在與受害人搭上線後,騙子會建議受害人下載詐騙 App Ace Pro,然後展開加密貨幣詐騙。
Ace Pro 在應用商店中被歸類於 QR 碼掃描器,但實際上是一個詐騙加密貨幣交易平台。打開這個 App 後,用戶會看到一個可以存取款項的交易介面。但是,任何存入的錢都會直接流向詐騙者。
詐騙分子為了繞過 App Store 的安全措施,Sophos 認為詐騙者在 App 最初提交審查時,先將其連線到用途正當的遠端網站。該網域包含用於 QR 掃描的程式碼,因此 App 審核者會認為它是合法的。然而,一旦該 App 獲得核准,詐騙者就會將該 App 重新導向到另一個在亞洲註冊的網域。該網域會發送一個請求,讓來自另一台主機的內容進行回應,最終索回傳的則是假的交易介面。
更詳細的報告內容,歡迎點選下載《詐騙 App 潛入 Apple 和 Google 應用程式商店》。
首圖片來源: Sophos