Sophos, romantizme dayalı tekniklerle kullanıcıları avlayarak kripto cüzdanlarındaki varlıkları ele geçirmeyi planlayan kötü niyetli uygulamaların App Store ve Google Play güvenlik denetimlerini aşmanın yeni bir yolunu bulduğunu keşfetti.
Sophos, “Sahte Ticaret Uygulamaları Apple ve Google Uygulama Mağazalarına Sızıyor” (Fraudulent Trading Apps Sneak into Apple and Google App Stores) başlıklı son raporunda, CryptoRom dolandırıcılığına ilişkin yeni bulguları paylaştı. CryptoRom, temel olarak flört uygulaması kullanıcılarını sahte kripto para yatırımları yapmaları için kandıran ayrıntılı finansal dolandırıcılık yöntemlerinden oluşuyor. Rapor, Apple’ın katı güvenlik protokollerini başarıyla atlatan ilk sahte CryptoRom uygulamaları Ace Pro ve MBM_BitScan’ın detaylarına yer veriyor. Sophos’un Apple ve Google’ı bilgilendirmesi sonrasında her iki platform sahte uygulamaları mağazalarından kaldırdı.
Siber suçlular daha önce geçici çözümlerle kurbanlarını Apple App Store tarafından onaylanmayan gayrimeşru iPhone uygulamalarını indirmeye ikna etmeye çalıştığını ifade eden Sophos Kıdemli Tehdit Araştırmacısı Jagadeesh Chandraiah, yeni yönteme dair şunları söyledi:
“Kötü amaçlı yazılımların Apple App Store’daki güvenlik inceleme sürecini geçmesi oldukça zordur. iOS kullanıcılarını hedef alan CryptoRom vakalarının ilk örneklerinde, dolandırıcıların kurbanlarına sahte uygulamayı yükletebilmek için önce özel bir yapılandırma profilini yüklemeye ikna etmesi gerekiyordu. Ancak bu durumda kullanıcılar sözde yasal uygulamayı doğrudan indiremediklerinde bir şeylerin ters gittiğinden şüpheleniyorlardı. Bu nedenle dolandırıcıların uygulamayı App Store’a kabul ettirmesi, dolandırıcılık potansiyellerinin büyük ölçüde genişlemesi anlamına geliyor. İncelediğimiz her iki uygulama da iOS’un dolandırıcıların sosyal mühendislik çabalarına yardımcı olacak mobil profiller yüklemesini engelleyen yeni Lockdown modundan etkilenmiyordu. Bu da CryptoRom dolandırıcılarının Lockdown ile sunulan güvenlik özellikleri ışığında taktiklerini değiştirdiklerini, böylece App Store inceleme sürecini atlatmaya odaklandıklarını ortaya koyuyor.”
Söz konusu uygulamalardan Ace Pro, potansiyel kurbanları ağına düşürmek için Londra’da lüks yaşam sürdüğünü iddia eden sahte bir kadın profili yarattı. Dolandırıcılar bu profil aracılığıyla kurbanlarıyla yakınlık kurduktan sonra sahte Ace Pro uygulamasını indirmeye yönlendirdiler ve gerçek niyetlerini hayata geçirdiler.
Ace Pro, uygulama mağazasında QR kod tarayıcısı olarak tanımlansa da aslında sahte bir kripto ticaret platformu. Açıldığında kullanıcılar sözde para yatırabilecekleri ve çekebilecekleri bir arayüz görüyorlar. Ancak yatırılan tüm paralar doğrudan dolandırıcıların cebine gidiyor. Sophos, dolandırıcıların App Store güvenliğini aşmak için uygulamanın ilk incelemeye gönderdikleri sürümünde iyi niyetli işlevlere sahip farklı bir web sitesine bağlantı sağladığına inanıyor. Alan adı, uygulamanın denetimde meşru görünmesini sağlamak için QR taramasına dair kodlar da içeriyordu. Ancak dolandırıcılar onaylanmasının ardından uygulamayı Asya’da kayıtlı bir alan adına yönlendirdi. Bu alan adı, farklı bir sunucu vasıtasıyla sahte bir siteye bağlanıyordu.
Diğer uygulama olan MBM_BitScan, Android için yazılmış bir uygulama ve Google Play’de BitScan olarak biliniyor. Her iki uygulama aynı Komuta ve Kontrol (C2) altyapısıyla iletişim kuruyor. Bu komuta kontrol altyapısı meşru bir Japon kripto firmasına benzeyen sunucuyla iletişim kuruyor. Tüm kötü niyetli süreç bir web arayüzü yardımıyla yürütülüyor. Bu yüzden Google Play’de kodun güvenliğini gözden geçirenlerin bu durumu tespit etmesi oldukça zor.
Sha zhu pan (杀猪盘) olarak bilinen dolandırıcılık ailesinin alt kümesi olan CryptoRom, iyi organize edilmiş ve koordineli bir dolandırıcılık operasyonu. Sistem kurbanlarını cezbetmek ve güvenlerini kazandıktan sonra paralarını çalmak için romantizm odaklı sosyal mühendisliğin yanında sahte kripto uygulamalarının ve web sitelerinin kombinasyonunu kullanıyor. Sophos, iki yıldır milyonlarca dolar zarara neden olan bu dolandırıcılıkları takip ediyor ve raporluyor.
CryptoRom dolandırıcılık zincirinin arkasındaki suçlular ve bu amaçla kullanılan sahte uygulamalar hakkında daha fazla bilgi için Sophos.com’da yer alan “Fraudulent CryptoRom Trading Apps Sneak into Apple and Google App Stores” başlıklı makaleyi okuyabilirsiniz.