Криптомошеннические приложения проникли в официальные магазины Google и Apple

Создатели высокодоходных инвестиционных афёр под названием «разделка свиньи» («The Pig-Butchering Scum»), нашли способ обойти защиту магазинов приложений Google Play и Apple App Store.

Мошенничество методом «разделка свиньи» происходит уже не первый год. Злоумышленники используют поддельные веб-сайты, вредоносную рекламу и социальную инженерию. А загружая мошеннические приложения в официальные магазины, им ещё проще завоевать доверие жертвы.

Исследователи из компании по кибербезопасности Sophos говорят, что киберпреступники нацелены на жертв в популярных социальных сетях. Они убеждают их загрузить мошеннические приложения и «вкладывать» большие суммы денег в активы, которые, по их словам, являются реальными. В основном мошенники дурачат мужчин, используя фейковые женские профили Facebook* и Tinder.

ShaZhuPan — хакерская группировка из Китая, которая ведёт эту мошенническую кампанию. Она демонстрирует очень высокий уровень организации. Отдельные команды в ней занимаются взаимодействией с жертвами, отдельные — финансами, франчайзингом и отмыванием денег.

Профили, контролируемые мошенниками, создаются с учетом роскошного образа жизни, с фотографиями дорогих ресторанов, магазинов и экзотических мест. Видимо, так злоумышленники привлекают состоятельных мужчин.

Изображения, используемые в поддельных профилях (Sophos)

После завоевания доверия жертвы мошенники говорят, что у них есть родственник, работающий в фирме по финансовому анализу. Убеждают, что на этом можно неплохо заработать, и приглашают жертву торговать криптовалютой через приложение из Play Store или App Store.

Мошенники инструктируют жертву, как создать счёт на платформе обмена криптовалютами Binance, пополнить баланс, а затем перевести вложенную сумму в поддельное приложение.

Вредоносные приложения, используемые в кампании, которую наблюдала Sophos, называются «Ace Pro» и «MBM_BitScan» в Apple App Store, а также «BitScan» в Play Store.

«MBM_Bitscan» в Apple App Store

На первых порах данные приложения позволяют жертве выводить небольшие суммы криптовалюты, но затем блокируют их учетные записи, когда суммы становятся больше. Первоначального вывода средств, как правило, достаточно, чтобы жертвы доверяли схеме и продолжали инвестировать.

Метод, используемый для обхода проверок безопасности в магазинах мобильных приложений, довольно прост. Для проникновения в App Store банда ShaZhuPan отправляет приложение, подписанное действительным сертификатом, выданным Apple, что является главным требованием для любого кода, который будет принят в репозиторий iOS. Поначалу приложение подключается к безопасному серверу, и его поведение не является подозрительным. Но после прохождения проверки разработчик меняет домен, и приложение подключается уже к вредоносному серверу.

Как злоумышленники проходят проверку при добавлении приложения в App Store

После запуска приложения жертва видит интерфейс для торговли криптовалютами, доставленный с вредоносного сервера. Однако вся отображаемая информация является поддельной, за исключением счёта пользователя.

Исследователи Sophos обнаружили, что приложения BitScan для Android и iOS имеют разные названия поставщиков, но взаимодействуют с одним и тем же сервером управления, который, по-видимому, выдает себя за bitFlyer — законную компанию по обмену криптовалютами в Японии.

Поскольку эти приложения загружаются только небольшим количеством целевых пользователей, о них не сообщается как о массовом мошенничестве, что увеличивает время, необходимое на их идентификацию и удаление из магазина.

Мошенничество методом «разделка свиньи» приносит высокую прибыль за короткое время, поэтому мошенники мотивированы тратить немало времени и усилий, чтобы завоевать доверие своих жертв посредством длительного общения.

Такое длительное взаимодействие, первоначальный вывод средств и убедительный интерфейс поддельных приложений затрудняют понимание самого факта мошенничества.

Sophos также отмечает, что появление и популяризация финансово-технической отрасли дополнительно укрепило доверие людей к подобным программным инструментам. А когда приложения загружаются из официальных магазинов Apple и Google, у жертв практически не возникает сомнений об их законности и безопасности.

Чтобы не попасть в подобную ситуацию, перед установкой любого приложения на свой смартфон рекомендуется ознакомиться с отзывами других пользователей, политикой конфиденциальности, сведениями о разработчике / издателе и поискать информацию о компании в интернете.

* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями, их деятельность запрещена на территории РФ.