A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, explicou detalhadamente quais foram as primeiras aplicações falsas da App Store da Apple que acabaram por ser utilizadas para esquemas CryptoRom.
Estas aplicações foram descobertas na App Store tendo assim conseguido contornar com sucesso os rígidos protocolos de segurança impostos pela Apple.
De alternativas não oficiais diretamente para dentro da App Store
O método mais comum utilizado pelos hackers passa sempre por levar a vítima a descarregar a “aplicação fidedigna” de um site alternativo que não seja a loja de aplicações oficial da empresa. Em especial quando se trata de um equipamento Apple, que tem uma das lojas de aplicações mais seguras do mercado.
No entanto, segundo avança a Sophos, parece que os cibercriminosos estão cada vez mais astutos e conseguiram contornar os protocolos de segurança da App Store impostos pela Apple.
Esta descoberta foi divulgada no relatório “Fraudulent Trading Apps Sneak into Apple and Google App Stores” e tanto a Apple como a Google já foram avisadas quanto às descobertas feitas pelos especialistas e procederam, de imediato, à eliminação das aplicações falsas Ace Pro e MBM_BitScan.
“De forma geral, é difícil conseguir que o malware contorne o processo de análise de segurança da Apple App Store. Era por isso que, num primeiro momento dos esquemas CryptoRom direcionados a utilizadores iOS, os criminosos tinham de persuadir os utilizadores a instalar uma falsa aplicação de negociação de criptomoedas. Isto envolve, obviamente, um nível adicional de engenharia social – e um nível que é difícil de superar. Muitas potenciais vítimas percebiam que algo estava errado quando não podiam descarregar diretamente uma aplicação supostamente legítima. Ao colocar uma aplicação na App Store, os criminosos aumentaram muito o seu número de possíveis vítimas, principalmente porque a maioria dos utilizadores confia inerentemente na Apple,”
Jagadeesh Chandraiah, Senior Threat Researcher da Sophos.
A investigadora da Sophos comenta ainda que estas duas aplicações encontradas na App Store “não são afetadas pelo novo modo Lockdown do iOS, que impede que os cibercriminosos carreguem perfis mobile úteis para engenharia social”. O que sustenta a teoria de que os cibercriminosos de CryptoRom estão a começar a alterar a forma de agir.
A os especialistas partilharam ainda um exemplo que ocorreu com uma das aplicações descarregadas da App Store, a Ace Pro, que permitiu aos criminosos manterem ativa uma conta de Facebook falsa, de uma utilizadora que havia descarregado a app, assim como a persona de uma mulher com uma vida supostamente luxuosa em londres.
Após construírem um relacionamento com a vítima, sugeriram que descarregasse a aplicação falsa e deram continuidade à fraude de investimento em criptomoedas a partir daí.
A Ace Pro é descrita na App Store como sendo um leitor de códigos QR, mas a verdade é que se trata de uma plataforma fraudulenta de trading de criptomoedas. Após aberta a aplicação, os utilizadores veem uma interface de negociação onde supostamente podem depositar e retirar fundos. A verdade é que qualquer deposito realizado vai diretamente para a conta dos criminosos.
De forma a ultrapassar a segurança da App Store, a Sophos acredita que os criminosos conectaram a aplicação a um website remoto cuja funcionalidade era benigna quando foi originalmente enviado para análise.
O domínio incluía códigos para a digitalização de QR para o tornar legítimo aos olhos dos revisores de aplicações. No entanto, após a aprovação da aplicação, foi redirecionada para um domínio registado na Ásia, com conteúdo de outro host que, este sim, levava à interface de negociação falsa.
Para além da App Store, a aplicação MBM_BitScan existe também para Android, sendo conhecida como BitScan no Google Play. As duas comunicam com a mesma infraestrutura de Comando e Controlo (C2), que por sua vez comunica com um servidor que se parece com uma empresa japonesa de criptomoedas legítima. Tudo o que era malicioso acontecia numa interface da web, sendo por isso difícil para os revisores de código do Google Play detetá-la como fraudulenta.
Os esquemas CryptoRom, um subconjunto da família de fraudes conhecida como sha zhu pan (杀猪盘) (“matança do porco”) são operações enganosas bem organizadas e sindicalizadas que utilizam uma combinação de engenharia social centrada no romance e aplicações falsas de negociação de criptomoedas, para atrair vítimas e roubar o seu dinheiro depois de lhes ganhar a confiança.