DIGITAL SOLUTIONS
« Fraudulent Trading Apps Sneak into Apple and Google App Stores »
Sophos détaille les premières fausses applications découvertes sur l’App Store d’Apple et utilisées par des cybercriminels pour des escroqueries CryptoRom.
February 7, 2023
Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie une nouvelle étude intitulée « Fraudulent Trading Apps Sneak into Apple and Google App Stores », qui dévoile de nouvelles informations sur les escroqueries de type CryptoRom – des montages financiers frauduleux élaborés qui ciblent des utilisateurs d’applications de rencontre pour les inciter à faire de faux investissements dans des cryptomonnaies. L’étude décrit en détail les premières fausses applications CryptoRom – Ace Pro et MBM_BitScan – ayant réussi à contourner avec succès les protocoles stricts de sécurité d’Apple. Jusque-là, les cybercriminels employaient des stratagèmes pour convaincre leurs victimes de télécharger des applications iPhone non validées par l’App Store. Sophos en a immédiatement averti Apple et Google, qui ont retiré les applications frauduleuses de leurs stores.
« En règle générale, il est très difficile pour des malwares de passer au travers du processus de contrôle de sécurité dans l’App Store d’Apple. C’est pourquoi lorsque nous avons commencé à enquêter sur les escroqueries CryptoRom ciblant les utilisateurs iOS, les escrocs devaient d’abord persuader les utilisateurs d’installer un profil de configuration pour pouvoir ensuite implanter leur fausse application d’échange de cryptomonnaie. Cela nécessite de toute évidence un niveau supplémentaire d’ingénierie sociale, compliqué à franchir. De nombreuses victimes potentielles étaient “alertées” que quelque chose n’allait pas lorsqu’elles ne parvenaient pas à télécharger directement une application soi-disant légitime. En infiltrant une application dans l’App Store, les escrocs ont largement étendu leur lot de victimes potentielles, d’autant que la plupart des utilisateurs font intrinsèquement confiance à Apple », explique Jagadeesh Chandraiah, chercheur senior en menaces chez Sophos. « De plus, les deux applications ne sont pas touchées par le nouveau mode de verrouillage Lockdown d’iOS, qui empêche les escrocs de charger des profils mobiles à des fins d’ingénierie sociale. De fait, ces escrocs CryptoRom sont peut-être en train de changer de tactique – c’est-à-dire qu’ils se concentrent sur le contournement du processus de contrôle de l’App Store – à la lumière des fonctions de sécurité Lockdown. »
Par exemple, pour tromper une victime avec Ace Pro, les escrocs ont créé et mis à jour activementun faux profil Facebook d’une femme censée vivre dans un style de vie luxueux à Londres. Après avoir noué un contact avec la victime, les escrocs suggéraient à celle-ci de télécharger l’application frauduleuse Ace Pro, enclenchant ainsi la fraude à la cryptomonnaie.
Présentée sur l’App Store comme un lecteur de QR code, Ace Pro est en réalité une fausse plateforme d’échange de cryptomonnaie. Une fois l’application ouverte, l’utilisateur voit s’afficher une interface lui permettant prétendument de déposer et retirer des fonds. Or toute somme déposée va directement dans la poche des escrocs. Pour franchir les contrôles de sécurité de l’App Store, selon Sophos, les escrocs font en sorte que l’application, lors de son examen initial, se connecte à un site web distant aux fonctionnalités banales. Le domaine en question contient un logiciel destiné à la lecture de QR code, dans le but de leurrer les vérificateurs d’applications. Cependant, dès l’application approuvée, les escrocs l’ont redirigée vers un domaine enregistré en Asie. Ce domaine envoie une requête répondant avec du contenu provenant d’un autre hôte, qui aboutit finalement à l’installation d’une fausse interface d’échange de cryptomonnaie.
Quant à MBM_BitScan, il s’agit d’une application Android, connue sous le nom de BitScan sur Google Play. Les deux applications communiquent avec la même infrastructure de commande et contrôle, elle-même en contact avec un serveur imitant une société légitime de cryptomonnaie japonaise. Tout le reste du code malveillant est géré dans une interface web, raison pour laquelle les vérificateurs de Google Play éprouvent des difficultés à détecter cette application comme frauduleuse.
Faisant partie des escroqueries de type « pig butchering » (en chinois Sha Zhu Pan), CryptoRom est une opération très bien organisée, combinant des techniques d’ingénierie sociale centrées sur des rencontres amoureuses, des applications et des plateformes frauduleuses d’échange de cryptomonnaie afin de dérober les fonds des victimes après avoir gagné leur confiance. Sophos suit et étudie depuis deux ans ces arnaques qui ont récolté des millions de dollars.
Pour en savoir plus sur les criminels qui se cachent derrière CryptoRom et ces applications frauduleuses, consultez l’étude « Fraudulent CryptoRom Trading Apps Sneak into Apple and Google App Stores » sur Sophos.com.