CryptoRom - oszustwo przez portale randkowe nabiera tempa. Złamano nawet zabezpieczenia w App Store i Google Play

Brytyjskie przedsiębiorstwo Sophos, specjalizujące się w produkcji oprogramowania bezpieczeństwa, poinformowało właśnie, że do App Store oraz Google Play przedostały się dwie aplikacje odnoszące się do kampanii CryptoRom. Jest to nie lada wyczyn, ponieważ jak wiemy, sklepy te mają skomplikowany proces weryfikacji. Na czym polega cały proceder i jak można się przed nim uchronić?

Sklep Google Play oraz App Store nie są tak bezpieczne, jak nam się wydawało. Oszustom udało się bowiem przemycić do nich co najmniej 2 aplikacje, w związku z kampanią CryptoRom. 

Facebook, Instagram i problemy z autoryzacją opartą na kodach SMS. Ponad 100 tys. zł nagrody dla etycznego hakera

Kampania nazywana CryptoRom nie jest niczym nowym. Nazwa składa się od angielskich słów "Cryptocurrencies" oraz "Romance". Jej działanie opiera się stricte na słowach, które ją oznaczają. Ofiara korzystająca z portali randkowych takich jak Tinder dostaje zaproszenie od nieznajomego. W wyniku rozmowy oszust nawiązuje z potencjalną ofiarą nić zaufania i prosi o przeniesienie konwersacji na WhatsApp. Następnie skłania ją do tego, aby zainstalowała aplikację, dzięki której będzie mogła trochę zarobić. Z reguły opierają się one właśnie na handlu kryptowalutami. Początkowo osoba, która wpłaca pieniądze w takich aplikacjach, odzyskuje jakąś ich część. Wszystko po to, żeby zdobyć jej zaufanie. Jak wyglądają dalsze losy, zapewne każdy z nas już się domyśla. Ofiara traci coraz więcej pieniędzy, a jej konto zostaje zablokowane. Obecny przypadek jest jednak dość wyjątkowy. Dlaczego?

Bitwarden celem ataków phishingowych. Cyberprzestępcy posłużyli się jednak niecodzienną metodą

Do tej pory, kiedy oszust nawiązał już kontakt, wysyłał link do aplikacji, która znajdowała się gdzieś poza oficjalnym sklepem z aplikacjami. W tym wypadku jednak udało się obejść zabezpieczenia zarówno na Androidzie, jak i iOS. Aplikacje znalazły się w zaufanym miejscu, więc nie trudno było namówić kogoś do ściągnięcia aplikacji. Jedną z nich była Ace Pro, służąca do skanowania kodów QR. Kolejna nazywała się MBM_BitScan. Jak nietrudno się domyślić, służyła do śledzenia danych kryptowalut w czasie rzeczywistym. Obie aplikacje po zgłoszeniu zostały usunięte, jednak zdążyły już zebrać swoje żniwa. Wiadomo o osobie, która straciła 4000 dolarów korzystając z jednej z nich. Oczywiście cyberprzestępcy są bardzo dobrze przygotowani do takich ataków. W jaki sposób?

Wyciek kodu źródłowego wyszukiwarki Yandex ujawnił 1922 czynniki, które mają bezpośredni wpływ na SEO

Aby zdobyć zaufanie, stworzyli na Facebook'u profil kobiety mieszkającej w Londynie. Oczywiście było na nim pełno zdjęć, które przedstawiały jej rzekome życie pełne luksusu. Aby sprawić, że konto wzbudzałoby wrażenie jeszcze bardziej prawdziwego, udostępniane były tam popularne treści, jak choćby z pogrzebu królowej Elżbiety. Można było zaobserwować również sporo polubień i znajomych. I z takim profilem ruszali na łowy w aplikacji randkowej od Mety. W trakcie rozmowy wspominali o swoim wujku, który zajmuje się analizą finansową i instruowali, w jaki sposób inwestować w kryptowaluty. Wiadomo jak potoczyły się losy takich osób. Rzecz jasna przestępcy nawiązują kontakt za pośrednictwem różnych aplikacji, ale schemat działania pozostaje taki sam. Jak udało im się w ogóle przemycić aplikację do tak zaufanych sklepów?

Riot Games padło ofiarą cyberataku z żądaniem okupu w tle. Czy firma jest skłonna zapłacić cyberprzestępcom?

Żeby jakaś aplikacja trafiła do App Store, musi być popisana przez programistę certyfikatem od Apple. Następnie przechodzi wymagający proces weryfikacji, w którym ocenia się czy spełnia wytyczne sklepu. I taką kontrolę udało się ominąć przestępcom w przypadku Ace Pro. Wszystko za sprawą wykorzystania zdalnej zmiany zawartości. Przy procesie weryfikacji prawdziwa funkcjonalność aplikacji była ukryta, więc nie było podstaw, aby odrzucić ją ze sklepu. Jak podaje Sophos "zaraz po uruchomieniu wysyłała ona żądanie do domeny zarejestrowanej w Azji, która odpowiada treścią z innego hosta". I właśnie dzięki tej odpowiedzi wyświetlany był fałszywy interfejs handlowy. Kampanie CryptoRom i im pokrewne, mimo swojej powszechności nadal przynoszą ogromne zyski. Niestety.