CryptoRom自2021年初以来,该活动一直处于活跃状态。研究人员称这种攻击为杀猪板,这是一种组织严密的联合欺诈行动。杀猪板是一种诱导股票投资股票投资和赌博的欺诈方式,杀猪板是从业者自己的名字。与其他骗局的短而快不同,杀猪板最大的特点是放长期的养猪,饲养时间越长,杀戮就越严重。虽然该攻击最初专注于亚洲受害者,但恶意组织在2021年10月开始了全球攻击。
这种攻击仍然非常活跃,并继续影响到世界各地的受害者。在某些情况下,受害者可能会在一次攻击中失去终身积蓄。本文将重点介绍额外的虚假移动应用程序和网站、恶意软件运营商使用的社会工程技术以及另一种滥用 Apple iOS 软件传播绕过 App Store 安全检查行为。
iOS TestFlight 滥用
此前,研究人员发现 CryptoRom 针对 iOS 设备的欺骗性应用程序使用 Apple 超级签名应用程序传播方案(使用开发者账户的有限临时传播方法),滥用 Apple 企业应用程序部署方案。研究人员现在也看到了 Apple TestFlight 被 CryptoRom 作者滥用。
TestFlight用于测试应用的“beta版本,然后提交App store发行。苹果支持使用两种方式。TestFlight应用程序分发:一100名用户通过电子邮件邀请发送的小型内部应用测试,另一种是支持1万名用户的大规模公开beta测试。更小的基于电子邮件的分发方式不需要App Store公共网页链接共享的安全审查TestFlight应用需要App Store初步审查代码构建。
不幸的是,正如我们在苹果支持的其他应用分发方案中所看到的,TestFlight Signature可作为托管服务替代iOS恶意软件开发者很容易滥用应用部署。这些第三方服务被滥用。CryptoRom滥用开发者。
为手机开发者提供TestFlight Signature网站截图服务
TF Signature 比其他方案便宜,因为你只需要一个带有已编译应用程序的 IPA 文件。传播由他人处理。当恶意软件被注意到并标记时,恶意软件开发人员可以继续下一项服务并重新开始。
恶意应用程序开发人员在某些情况下更喜欢 TF 签名而不是超级签名或企业签名,因为它更便宜,而且与 签名Apple Test Flight 应用程序一起传播时看起来更合法。审查过程也被认为不如 App Store 严格审查:
一些受害者联系研究人员说,他们似乎被指示安装 BTCBOX 应用程序是日本加密货币交易所的应用程序。我们还发现了一家伪装成加密货币挖掘公司 BitFury 通过 Test Flight 销售虚假应用程序的虚假网站。我们继续寻找其他使用相同方法的 CryptoRom 应用程序。
Android 和 iOS 的应用程序是通过欺诈网站传播的。 假冒应用程序iOS 版本使用 TestFlight 部署给受害者的设备。我们可以使用受害者提供的链接来重现这一点:
BTCBOX 已警告虚假网站,并要求用户使用正确的域名
iOS WebClips,改变图标和网站
大多数遇到这些欺诈性应用的 iPhone 用户被另一个绕过 App Store 引诱方法:向他们发送服务于 iOS WebClips 的 URL。WebClips 是移动设备管理的有效负载,直接添加网页链接iOS设备的主屏幕使它看起来像一个普通的应用程序。
其中一项调查 CryptoRom URL 发现托管 App Store 相关 相似页面IP 模板相似,但名称和图标不同。这些应用程序包括模仿流行 Robinhood 交易应用程序称为RobinHand。它的标志与 相似Robinhood。
除了应用商店页面外,所有这些虚假页面还链接到具有相似模板的网站,以说服用户使用内容和结构相似但品牌和图标不同的网页。这可能是为了在他们被屏蔽或发现时从一个品牌转移到另一个品牌。这表明模仿流行品牌是多么便宜和容易,并从受害者那里窃取资金。
使用 显示在下图中Web 模板复制了著名的加密货币、交易和交换平台,它们只改变图标,URL 和品牌名称。
Android应用程序
对于这些虚假应用程序 Android 版本,使用简单、低成本的应用程序开发工具的趋势仍在继续。我们看到的大部分和 CryptoRom 连接的 Android 本质上,应用程序是用最少的代码Web 应用程序。连接应用程序的 URL 不同。
带 显示在下图中CryptoRom URL 应用程序配置文件;本例中的应用程序使用 Apache Cordova 开发的。
如上所述,这些骗局使用多种方法与目标建立关系。在之前的攻击中,研究人员注意到骗子使用约会网站、约会应用程序和其他社交网络平台来寻找新的受害者。但在某些情况下,它们是通过看似随机的 WhatsApp 为收件人提供投资和交易技巧,包括 CryptoRom 网站 URL 链接。这些信息通常包括对巨额财务回报的承诺。我们怀疑欺诈者通过自己的社交媒体账户或入侵网站获取联系信息。他们似乎也为那些投资和加密货币的人获得了公开和可用的信息。
由于假冒应用程序目标旨在模仿流行品牌,因此目标通常确信他们正在与合法公司进行交易,就像他们与移动银行应用程序进行交易一样。在这些骗局中,诈骗者允许目标在获得“利润”后最初从虚假账户中提款。就像在经典的庞氏骗局中一样,作为建立信任的措施,允许受害者撤回他们的初始投资,但随后虚假的浪漫伴侣或“朋友”会敦促受害者为重大事件进行更多的再投资。他们甚至提出“借给”目标公司巨额资金以增加投资,由于他们控制着应用程序的后端,他们可以在账户上注入虚假存款并随意创造假想盈利。例如,在下图中,你可以看到他们将总资产增加到400万美元以上:
由于欺诈者控制着应用程序的后端,他们可以人为地更改应用程序显示的内容,以加强欺诈
针对 CryptoRom 受害者的建议
CryptoRom 在意识到自己被骗后,受害者经常拼命想办法拿回他们的钱。然而,由于加密货币的性质和跨境对外交易,很难通过执法或其他法律渠道恢复。一些骗子利用受害者的绝望,声称他们可以提供帮助的服务CryptoRom 受害者收回资金。经过测试,这些服务大多是假的。
最好的办法是联系当地和国家执法部门寻求帮助
总结
CryptoRom 骗局继续通过社会工程、加密货币和虚假应用程序流行起来。这些骗局组织良好,擅长识别和使用易受攻击的用户,根据用户的情况、兴趣和技术能力。
通过以上分析,本次CryptoRom 骗局杀猪板包含了当前杀猪板的所有特点。首先,传统的杀猪板有一个非常明显的约会过程,通常在三到五个月后开始,但现在新的杀猪板有一个新的趋势,即没有非常明显的约会过程,可能只通过各种社交软件联系受害者,有时只是添加朋友,或者他们在同一组,保持浅联系。无意中引诱他人通过APP或网站,进行所谓的投资或赌博操作。第二,受害者从进入平台投资到发现被欺骗的时间显著缩短,可能是几天,超过十天半月,但通常不超过一个月。第三,在受害者投资了钱后,他最多会看到一个小的回扣,有时在直接投资后沉入大海。从操作技术的角度来看,这种新的杀猪板更快、更尖锐,不会给受害者中途思考和醒来的机会。
本文翻译自:https://news.sophos.com/en-us/2022/03/16/cryptorom-bitcoin-swindlers-continue-to-target-vulnerable-iphone-and-android-users/如果转载,请注明原始地址。