CryptoRom活动自2021年初开始活跃,研究人员将这种攻击行为称为杀猪。这是一次组织严密的联合诈骗行动。“从业者”自己编造名字。区别于其他骗局“短平快”的骗局,杀猪盘最大的特点是长期“养猪”。饲养它们的时间越长,杀死它们的难度就越大。虽然攻击最初集中在亚洲受害者,但在2021年10月,该恶意组织开始了全球活动。这种攻击仍然非常活跃,并继续影响着世界各地的受害者,在某些情况下,受害者可能会在一次攻击中失去毕生积蓄。在本文中,我们将重点关注那些额外的虚假移动应用程序和网站、恶意软件运营商使用的社会工程技术,以及另一种滥用AppleiOS软件分发以绕过AppStore安全检查的行为。iOSTestFlight滥用此前,研究人员发现CryptoRom针对iOS设备的欺骗性应用程序利用了苹果的“超级签名”应用程序分发方案(一种使用开发者帐户的有限、临时分发方法),并滥用了苹果的企业应用程序部署方案。研究人员现在还发现AppleTestFlight被CryptoRom作者滥用。TestFlight用于在将应用程序提交到应用程序商店进行分发之前测试“测试版”应用程序。Apple以两种方式支持使用TestFlight进行应用程序分发:通过电子邮件邀请进行100位用户的小型内部应用程序测试,以及支持10,000位用户的大型公开Beta测试。较小的基于电子邮件的分发不需要AppStore安全审查,而通过公共Web链接共享的TestFlight应用程序需要对代码构建进行初始AppStore审查。不幸的是,正如我们在其他Apple支持的应用程序分发方案中看到的那样,“TestFlightSignature”可以用作托管服务,可以用作iOS应用程序部署的替代方案,从而使恶意软件作者很容易滥用它。这些第三方服务被CryptoRom开发者滥用。为移动开发人员提供“TestFlightSignature”服务的网站截图TFSignature使用起来比其他选项更便宜,因为您只需要一个带有已编译应用程序的IPA文件。传播由其他人处理,当注意到并标记恶意软件时,恶意软件开发人员可以转移到下一个服务并重新开始。在某些情况下,恶意应用程序开发人员更喜欢TF签名而不是超级签名或企业签名,因为它更便宜并且在与AppleTestFlight应用程序一起分发时看起来更合法。审查过程也被认为不如AppStore严格:一些联系研究人员的受害者表示,他们被指示安装似乎来自BTCBOX的应用程序,这是一款日本加密货币交易所的应用程序。我们还发现冒充加密货币挖矿公司BitFury的虚假网站通过TestFlight销售虚假应用程序。我们继续寻找使用相同方法的其他CryptoRom应用程序。Android和iOS应用程序都是通过欺诈网站分发的。使用TestFlight将假冒应用程序的iOS版本部署到受害者的设备上。我们能够使用受害者提供的链接重现这一点:BTCBOX已发出关于虚假网站的警告,并要求用户使用正确的域iOSWebClips,更改图标和网站绕过AppStore诱惑的一种方法:向他们发送提供iOSWebClip的URL。WebClips是一种移动设备管理负载,可将网页链接直接添加到iOS设备的主屏幕,使其看起来像一个普通的应用程序。在调查其中一个CryptoRomURL时,我们发现在AppStore上托管类似页面的关联IP具有类似的模板,但名称和图标不同。这些“应用程序”包括模仿流行的Robinhood交易应用程序“RobinHand”。它的标志类似于罗宾汉。除了应用商店页面,所有这些虚假页面还链接到具有相似模板的网站,以说服用户使用内容和结构相似但品牌和图标不同的页面。这可能是当它们被阻止或被发现时从一个品牌切换到另一个品牌。这表明在从受害者那里窃取金钱的同时模仿流行品牌是多么便宜和容易。下图显示了使用网页模板复制知名的加密货币、交易和交换平台,仅更改图标、URL和品牌名称。Android应用程序至于这些假冒应用程序的Android版本,使用简单、低成本应用程序开发工具的趋势仍在继续。我们看到的大多数与CryptoRom相关的Android应用程序本质上都是用最少的代码包装的网络应用程序。应用程序连接到的URL各不相同。下图显示了带有CryptoRomURL的应用程序配置文件;本示例中的应用程序是使用ApacheCordova开发的。如上所述,这些骗局使用多种方法与目标建立关系。在之前的攻击中,研究人员注意到诈骗者使用约会网站和应用程序以及其他社交网络平台来寻找新的受害者。但在某些情况下,它们是通过看似随机的WhatsApp消息发起的,这些消息向收件人提供投资和交易提示,包括指向CryptoRom网站URL的链接。这些信息通常包括巨额经济回报的承诺。我们怀疑诈骗者通过他们自己的社交媒体帐户或受感染的网站获得了目标的联系信息。他们似乎还可以访问公开信息,并针对那些已经投资加密货币的人。由于假冒应用目标旨在模仿流行品牌,因此目标通常相信他们正在与合法公司进行交易,就像他们与移动银行应用一样。在这些骗局中,骗子在“获利”后,先让目标从假账户中提款。就像在经典的庞氏骗局中一样,作为建立信任的措施,受害者被允许撤回他们的初始投资,但随后一个假的浪漫伴侣或“朋友”敦促受害者为大事件再投资更多。他们甚至提出向目标公司“借贷”巨额资金以增加投资,而且由于他们控制了应用程序的后台,他们可以在账户中注入虚假存款,并随意产生虚构的利润。例如,在下图中,您可以看到他们将总资产增加到超过400万美元的场景:由于骗子控制了应用程序的后端,他们可以人为地更改应用程序显示的内容,以加强针对AdviceforCryptoRom的骗局受害者在意识到自己被骗后,CryptoRom的受害者通常会急切地想办法取回他们的钱。但由于加密货币的性质和涉及的跨境境外交易,很难通过执法或其他合法渠道追回。有些诈骗者利用受害者的绝望,提供服务帮助CryptoRom受害者收回资金。经检测,这些服务绝大多数都是假的。最好的方法是联系当地和国家执法部门寻求帮助结论是CryptoRom骗局继续通过社会工程、加密货币和虚假应用程序蓬勃发展。这些骗局组织严密,擅长根据用户的个人资料、兴趣和技术能力水平识别和利用易受攻击的用户。通过以上分析,这个CryptoRom骗局“杀猪”包含了当前“杀猪”的所有特征。一是传统的“杀猪菜”,交友、结婚、恋爱的过程非常明显,一般要经过三五个月,而现在这种新型的“杀猪菜”有一个新的趋势,就是有没有很明显的友情在此过程中,受害人可能只是通过各种社交软件联系,有时只是互相加好友,或者是在同一个群里,保持“浅”联系。不经意间通过APP或网站引诱他人进行所谓的投资或赌博操作。二是大大缩短了受害人投资平台后发现自己被骗的时间。可能几天,最多十天半个月,但一般不会超过一个月。三是受害人投钱后最多看到一点回扣,有时直投后就没有了。从操作方式来看,这种新型“杀猪盘”速度更快、攻击性更强,不给受害人思考和清醒的机会。本文翻译自:https://news.sophos.com/en-us/2022/03/16/cryptorom-bitcoin-swindlers-continue-to-target-vulnerable-iphone-and-android-users/如有转载,请注明原文地址。
