'CryptoRom' Crypto-Scam ist zurück über seitlich geladene Apps

Seit etwa einem Jahr verlieren Krypto-Händler und verliebte Singles gleichermaßen ihr Geld durch CryptoRom, eine Malware-Kampagne, die Catfishing mit Krypto-Betrug kombiniert.

Laut Forschungsprojekte Von Sophos haben die Täter von CryptoRom nun ihre Techniken verbessert. Sie nutzen neue iOS-Funktionen – Testflug und WebClips – um gefälschte Apps auf die Telefone der Opfer zu übertragen, ohne sich dem strengen App-Store-Genehmigungsverfahren zu unterziehen.

Erfolgreiche CryptoRom-Betrügereien führten zu fünf-, sechs- und sogar siebenstelligen Verlusten für die Opfer.

Was ist CryptoRom?

Wir machen dumme Dinge, wenn wir verliebt sind. Tatsächlich, wissenschaftlich gesehen, unsere Hemmungen und Entscheidungsfähigkeiten werden angesichts von Romantik und sexueller Erregung beeinträchtigt.

Vielleicht ist das der Grund, warum Hacker im Laufe der Jahre so erfolgreich Dating-Apps ins Visier genommen haben. Letztes Jahr hat die Federal Trade Commission berichtet dass „Liebesbetrug“ US-Bürger im Jahr 300 über 2020 Millionen Dollar kostete, 50 Prozent mehr als 2019.

Um sich diesen Trend zunutze zu machen, startete letztes Jahr eine neue und gut koordinierte Kampagne, die sich gezielt an Nutzer von Dating-Apps wie Bumble, Tinder und Grindr richtete. Laut einem Sophos berichten Letzten Herbst hat der M.O. der Angreifer ist, dort zu beginnen und die Konversation dann auf Messaging-Apps zu verlagern.

„Sobald das Opfer bekannt wird, fordert es es auf, gefälschte Handelsanwendungen mit legitim aussehenden Domains und Kundensupport zu installieren“, erklärten die Forscher.

Die Handels-Apps sind in der Regel kryptowährungsbezogen, da dies bei Kryptowährungszahlungen noch stärker der Fall ist als bei Fiat-Währungen irreversibel.

„Sie verlagern das Gespräch auf Investitionen und bitten sie, einen kleinen Betrag zu investieren, und lassen sie dieses Geld sogar mit Gewinn als Köder abheben“, so Sophos. „Danach wird ihnen der Kauf verschiedener Finanzprodukte empfohlen oder sie werden aufgefordert, in spezielle ‚gewinnbringende‘ Handelsveranstaltungen zu investieren. Der neue Freund leiht der gefälschten App sogar etwas Geld, um dem Opfer das Gefühl zu geben, dass es sich um echte und fürsorgliche Menschen handelt. Wenn das Opfer sein Geld zurück will oder misstrauisch wird, wird ihm das Konto entzogen.“

Der Trick kann eine ganze Weile dauern, bis die Opfer es merken. Eine anonyme Person erzählte Sophos, dass sie mehr als 20,000 US-Dollar verloren hätten, während sich eine andere Person darüber beschwerte, dass sie 100,000 US-Dollar in die gefälschte App investiert und dabei unabsichtlich einen Bruder und Freunde in den Plan einbezogen habe.

Im bisher schlimmsten Fall schrieb ein Benutzer: „Ich habe mein gesamtes Ruhestands- und Darlehensgeld investiert, etwa 1,004,000 US-Dollar.“ Ich hatte keine Ahnung, dass sie mein Konto einfrieren würden und von mir verlangen würden, 625,000 US-Dollar zu zahlen, was 20 Prozent Steuern auf den Gesamtgewinn entspricht, bevor sie mein Konto entsperren würden.“

Karl Steinkamp, ​​Direktor bei Coalfire, sagte gegenüber Threatpost, dass der Betrug ein perfekter Sturm des Social Engineering sei.

„Hier gibt es ein übergreifendes Thema: Erstens sehen wir, dass die Weltbevölkerung schnell ein bestimmtes Format von Krypto-Assets übernehmen möchte, sei es Bitcoin, Ethereum oder eine der anderen über 17 Altcoins“, sagte er. „Und zweitens besteht ein zunehmender Bedarf an Sicherheitsschulungen für Endbenutzer (und Unternehmen) bei der Nutzung, Speicherung und Übertragung von Krypto-Assets. Der Schutz von Kryptowährungen und digitalen Vermögenswerten umfasst verschiedene Technologien und Fähigkeiten, die zur angemessenen Sicherung der Ressourcen erforderlich sind.“

Er fügte hinzu: „Die Mischung aus Dating, Geld/Kreditvergabe und Social-Engineering-Bemühungen ist und bleibt eine wirksame Kombination für schlechte Akteure, um den Opfern weiterhin Geld zu stehlen.“ Bösewichte müssen nur eine einzige Lücke in der Rüstung finden, während Einzelpersonen und Unternehmen sich vor jeder Art von Bedrohung schützen müssen.“

Was ist dieses Mal neu?

Eine entscheidende Komponente des CryptoRom-Angriffsablaufs sind diese gefälschten Apps. Opfer erhalten möglicherweise einen Link zum Herunterladen von angeblich BTCBOX oder Binance – völlig legitimen Handelsplattformen für Kryptowährungen. Diese Apps scheinen über professionelle Benutzeroberflächen zu verfügen und verfügen sogar über Chat-Optionen für den Kundenservice.

Apple und Google führen strenge Kontrollen durch, um bösartige mobile Apps wie diese aus ihren offiziellen Stores auszusortieren. Aber wie Threatpost es getan hat vorher abgedecktHacker haben clevere Tricks, um herkömmliche Sicherheitstests zu umgehen. In der Vergangenheit war beispielsweise die bevorzugte Methode von CryptoRom die Verwendung das Apple Developer Program und Enterprise Signatures.

Jetzt nutzt CryptoRom zwei neue iOS-Funktionen.

Die erste, TestFlight, ist eine Funktion, mit der Entwickler Betaversionen ihrer Apps an Tester verteilen können.

„Leider“, schrieben die Forscher, „ist ‚TestFlight Signature‘, genau wie wir es bei anderen von Apple unterstützten alternativen App-Verteilungsschemata gesehen haben, als gehosteter Dienst für die Bereitstellung alternativer iOS-Apps verfügbar, was es für Malware-Autoren allzu einfach macht.“ misshandeln."

CryptoRom ist von Enterprise-Signaturen zu TestFlight-Signaturen übergegangen, weil, wie Sophos schrieb, „es etwas billiger ist“ – es sei lediglich eine .IPA-Datei mit einer kompilierten iOS-App erforderlich. Außerdem sehen Apps „legitimer aus, wenn sie mit der Apple Test Flight App verbreitet werden“, fügten Forscher hinzu. „Es wird auch davon ausgegangen, dass der Überprüfungsprozess weniger streng ist als die Überprüfung im App Store.“

„Hacker, die die TestFlight-Plattform von Apple als Verbreitungsmechanismus für bösartige Apps nutzen, sind eine clevere – und relativ einfache – Taktik, die sicherlich zu Problemen für die Opfer führen kann“, sagte Ray Kelly, Fellow bei NTT Application Security, gegenüber Threatpost. „Benutzer sollten verstehen, dass das Seitenladen von Anwendungen immer eine heikle Angelegenheit ist. Apps, die außerhalb des App Stores oder des Google Play-Ökosystems heruntergeladen und installiert werden, wurden nicht auf Sicherheits- und Datenschutzrisiken überprüft, sodass Angreifern Tür und Tor offen stehen, um die persönlichen Daten der Benutzer und manchmal auch ihre Finanzkonten zu gefährden.“

Noch mehr als TestFlight nutzen CryptoRom-Angreifer WebClips, eine Funktion, mit der Weblinks wie bei normalen Apps zum iOS-Startbildschirm hinzugefügt werden können. Schädliche WebClips imitieren echte Apps wie RobinHood (im folgenden Fall „RobinHand“).

„Zusätzlich zu den App-Store-Seiten enthielten alle diese gefälschten Seiten auch verlinkte Websites mit ähnlichen Vorlagen, um Benutzer zu überzeugen“, schreiben die Forscher. „Das zeigt, wie billig und einfach es ist, beliebte Marken nachzuahmen und gleichzeitig Tausende von Dollar von den Opfern abzuschöpfen.“

Da es für die Strafverfolgungsbehörden nahezu unmöglich ist, gegen einen einzelnen Betrug vorzugehen, sind App-Store-Anbieter dafür verantwortlich, den Missbrauch dieser Entwicklertools zu überwachen, sagte Mark Lambert, Vizepräsident für Produkte bei ArmorCode, gegenüber Threatpost. Er fügte hinzu: „Letztendlich liegt das Problem jedoch in mangelndem Sicherheitsbewusstsein.“ Es ist wichtig, dass Benutzer nach Dingen suchen, die „nicht richtig aussehen“, und grundsätzlich davon ausgehen, dass sie elektronischer Kommunikation nicht vertrauen oder sie für bare Münze nehmen.“

Umzug in die Cloud? Entdecken Sie aufkommende Cloud-Sicherheitsbedrohungen zusammen mit fundierten Ratschlägen, wie Sie Ihre Vermögenswerte mit unseren schützen können KOSTENLOS herunterladbares eBook, „Cloud-Sicherheit: Die Prognose für 2022.“ Wir untersuchen die größten Risiken und Herausforderungen von Unternehmen, Best Practices für den Schutz und Ratschläge für den Sicherheitserfolg in einer solchen dynamischen Computerumgebung, einschließlich praktischer Checklisten.