A támadók társkereső oldalakon keresztül célozták meg a felhasználókat és népszerű márkáknak álcázott pénzlopó appok telepítésére vették rá őket.
A Sophos 167 hamis Android és iOS appot azonosított, melyeket a támadók arra használnak, hogy olyan emberektől lopjanak pénzt, akik abban a tévedésben voltak, hogy jól ismert és megbízható cégek pénzügyi, kereskedelmi, banki vagy kriptovaluta alkalmazását telepítettek.
A kutatási eredményekről szóló jelentés “Fake Android and iOS app disguised as trading and cryptocurrency apps”, azaz “hamis Android és iOS appok, melyeket kereskedelmi és kriptovaluta alkalmazásoknak álcáztak” bemutatja, milyen social engineering technikákat és hamisított weboldalakat használtak a támadók, beleértve egy hamis iOS App Store letöltőoldalt és egy iOS app-tesztelő weboldalt, hogy a mit sem sejtő felhasználók felé terjesszék a hamis alkalmazásokat.
A kutatók megvizsgálták a hamis appokat és megállapították, hogy sok közülük nagyon hasonló. Némelyik ügyfélszolgálati opciót is tartalmaz. Amikor a Sophos kutatói kapcsolatba léptek a különböző ügyfélszolgálatokkal, azt találták, hogy a weboldalak szinte azonos nyelvezetet használtak. A kutatók felfedeztek egy olyan szervert is, amely csak önmagában 167 hamis kereskedelmi és kriptovaluta appot tartalmaz. Mindent egybevetve ez arra utal, hogy mindegyik csalást ugyanaz a csoport működteti.
Az egyik vizsgált taktikában a csalók társkereső appokon keresztül barátkoztak össze a felhasználókkal. Profilt hoztak létre és üzeneteket váltottak az egyes célpontokkal, mielőtt megpróbálták volna rávenni őket arra, hogy telepítsenek egy hamis appot, illetve pénzt és kriptovalutát adjanak ahhoz. Ha a célpont később pénzt próbált felvenni a fiókról vagy megkísérelte törölni azt, a támadók egyszerűen blokkolták a hozzáférését.
Más esetekben az áldozatokat olyan weboldalakon keresztül verték át, amelyek egy megbízható brandre hasonlítottak, mint például egy bankra. A csalás üzemeltetői még egy hamis “iOS App Store” letöltőoldalt is létrehoztak hamis felhasználói értékelésekkel ellátva, hogy az áldozatok elhiggyék, a valódi App Store-ból telepítenek appokat.
Ha valaki a hamis alkalmazás letöltőlinkjére kattintott – akár Android, akár iOS esetében – olyasvalamit kapott, ami úgy nézett ki, mint egy mobil webalkalmazás, valójában azonban csak egy weboldalra hivatkozó parancsikon volt.
Az üzemeltetők a hamis iOS appok közül néhányat nem hivatalos weboldalakon keresztül is terjesztettek. Az ilyen típusú oldalak célja általában az, hogy limitált számú Apple eszköz felhasználóval segítsék az iOS fejlesztőket az új alkalmazások tesztelésében, mielőtt azokat a hivatalos App Store-ba feltöltenék. Ezt a szolgáltatást használják ki a bűnözők a kártékony alkalmazások terjesztésére.
“Az emberek megbíznak a brandekben és azokban a személyekben, akiket ismernek – vagy azt hiszik, hogy ismernek – és ezt a hamis kereskedelmi és kriptovaluta appok átverése mögött állók könyörtelenül ki is használják,” mondta Jagadeesh Chandraiah, a Sophos senior fenyegetés kutatója. “Az általunk felfedezett hamis applikációk népszerű és megbízható pénzügyi appoknak álcázzák magukat a világ minden tájáról, míg a társkereső oldalas átverés egy barátságos üzenetváltással kezdődik a bizalom felépítése érdekében, mielőtt a célpontot arra kérnék, hogy telepítse a hamis alkalmazást. Az ilyen taktikák miatt a csalás nagyon hihetőnek tűnik.”
A Sophos arra figyelmeztet, hogy azért, hogy ne essünk áldozatul az ilyen kártékony appoknak, csak olyan megbízható forrásokból telepítsünk applikációkat, mint például a Google Play vagy az Apple alkalmazásboltja.
A népszerű appok fejlesztői gyakran rendelkeznek egy weboldallal, amely a felhasználókat a valódi applikáció felé irányítja. És ha a felhasználók rendelkeznek a kellő felkészültséggel, ellenőrizniük kell, hogy a telepíteni kívánt alkalmazás valóban a tényleges fejlesztő által lett e készítve.
Végül, de nem utolsósorban: ha valami kockázatosnak tűnik, vagy túl jónak ahhoz, hogy igaz legyen – magas megtérülési értékű befektetés vagy egy személy egy társkereső oldalról arra kér, hogy valamiféle nagyszerű fiókra utalj pénzt vagy kriptovalutát – az sajnos valószínűleg hamis.
A Sophos a következőképpen azonosítja ezeket az appokat: Andr/FakeApp-DC, iPh/FakeApp-DD and iPh/FakeApp-DE.