Μια εταιρεία ασφάλειας στον κυβερνοχώρο, η Sophos έχει ανακαλύψει ότι η εκστρατεία οργανωμένου εγκλήματος που ονομάζεται "Cryptorom" χρησιμοποιεί τώρα την Apple Testflight και τα κλιπ ιστού για τη διανομή κακόβουλων εφαρμογών στο iOS και το Andriod.
Η εφαρμογή TestFlight επιτρέπει στους προγραμματιστές να προσκαλούν έως και 10.000 χρήστες να δοκιμάσουν τις εφαρμογές και τα κλιπ εφαρμογών χρησιμοποιώντας τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους ή έναν δημόσιο σύνδεσμο πριν από την κυκλοφορία τους στο App Store. Υποστηρίζει εφαρμογές για iOS, iPados, MacOS TVOS, WatchOS και IMessage, μέχρι και 100 εφαρμογές μπορούν να δοκιμαστούν κάθε φορά και πολλαπλές κατασκευές μιας εφαρμογής μπορούν να δοκιμαστούν ταυτόχρονα για 90 ημέρες.
Καθώς η Apple TestFlight έχει σχεδιαστεί για να δοκιμάζει εφαρμογές βήτα, οι απατεώνες χρησιμοποιούν το φόρο για να παρακάμψουν τη διαδικασία αναθεώρησης της εφαρμογής και να διανέμουν ψεύτικες εφαρμογές για να ληστέψουν τους ανθρώπους των χρημάτων τους.
Οι απατεώνες εκμεταλλεύονται το Apple TestFlight και το Webclips για να παρακάμψουν την αναθεώρηση του App Store και τους χρήστες Rob από όλο τον κόσμο
Ο Σοφός διαπίστωσε ότι το συνδικάτο ήταν ενεργό από το 2021 και στοχεύει τα θύματα από όλο τον κόσμο. Προηγουμένως, οι Cryptorom Scammers εκμεταλλεύτηκαν τα συστήματα διανομής εναλλακτικών εφαρμογών της Apple: το πρόγραμμα διανομής εφαρμογών "Super Signature" και το πρόγραμμα ανάπτυξης εφαρμογών της Apple.
Τώρα, κακοποιούν την υπηρεσία Apple "Testflight Signature" για να διπλασιάσει ή να τριπλασιάσει τις τσέπες των θυμάτων επειδή είναι φθηνότερη και φαίνεται πιο νόμιμη. Οι απατεώνες Cryptorom δημιουργούν επίσης ψεύτικες ιστοσελίδες, που παρουσιάζουν ως νόμιμες εταιρείες εξόρυξης κρυπτογράφησης όπως το BTCBox, με συνδέσμους ιστού για να κατεβάσετε ψεύτικες εφαρμογές μέσω του TestFlight.
Η υπογραφή TF είναι φθηνότερη στη χρήση από άλλα σχέδια, επειδή το μόνο που χρειάζεστε είναι ένα αρχείο IPA με μια εφαρμογή που έχει καταρτιστεί. Η διανομή αντιμετωπίζεται από κάποιον άλλο, και όταν (ή εάν) το κακόβουλο λογισμικό παρατηρείται και επισημαίνεται, ο προγραμματιστής κακόβουλου λογισμικού μπορεί απλώς να προχωρήσει στην επόμενη υπηρεσία και να ξεκινήσει ξανά.
Η υπογραφή TF προτιμάται από κακόβουλους προγραμματιστές εφαρμογών σε ορισμένες περιπτώσεις μέσω υπογραφής σούπερ υπογραφής ή επιχειρήσεων, καθώς είναι λίγο φθηνότερη και φαίνεται πιο νόμιμη όταν διανέμεται με την εφαρμογή Apple Test Flight. Η διαδικασία αναθεώρησης πιστεύεται επίσης ότι είναι λιγότερο αυστηρή από την αναθεώρηση του App Store.
Επιπλέον, οι απατεώνες προσελκύουν επίσης τα θύματα στην εγκατάσταση ψεύτικων εφαρμογών στέλνοντάς τους μέσω διευθύνσεων URL μέσω του iOS WebClips για να παρακάμψουν το App Store.
Το Webclips είναι ένα ωφέλιμο φορτίο διαχείρισης κινητής συσκευής που προσθέτει έναν σύνδεσμο σε μια ιστοσελίδα απευθείας στην αρχική οθόνη της συσκευής iOS, καθιστώντας την εμφάνιση λιγότερο εξελιγμένων χρηστών σαν μια τυπική εφαρμογή.
Το Cryptorom URL συνδέεται με τις ψεύτικες σελίδες των δημοφιλών εφαρμογών με ελαφρώς διαφορετικά ονόματα και εικονίδια. Για παράδειγμα, το lookalike της δημοφιλούς εφαρμογής Robinhood ονομάστηκε "Robinhand" με το ίδιο λογότυπο με την νόμιμη εφαρμογή.
Εκτός από τις σελίδες αποθήκευσης εφαρμογών, όλες αυτές οι ψεύτικες σελίδες είχαν επίσης συνδέσει ιστότοπους με παρόμοια πρότυπα για να πείσουν τους χρήστες - διαφορετικές μάρκες και εικονίδια, αλλά παρόμοιο περιεχόμενο και δομή ιστού. Αυτό πιθανότατα γίνεται για να προχωρήσουμε από το ένα εμπορικό σήμα στο άλλο όταν μπλοκαριστούν ή ανακάλυψαν. Αυτό δείχνει πόσο φθηνό και εύκολο είναι να μιμηθούμε δημοφιλείς μάρκες, ενώ σιφούν χιλιάδες δολάρια από τα θύματα.
Η υπεράσπιση της Apple ενάντια στο sideloading είναι ότι η διαδικασία αναθεώρησης του App Store είναι το μόνο εμπόδιο μεταξύ της ασφάλειας των χρηστών και των κακόβουλων ηθοποιών. Ο τεχνολογικός γίγαντας υποστηρίζει ότι από τότε που το iPhone είναι μια πιο προσωπική συσκευή από ένα MacBook που παραμένει με χρήστες καθ 'όλη τη διάρκεια της ημέρας, είναι ένας καυτός στόχος για τους απατεώνες.
Έτσι, η εταιρεία δεν μπορεί να επιτρέψει εναλλακτικές μεθόδους διανομής εφαρμογών στο iOS εκτός του App Store, επειδή δεν θα είναι σε θέση να φιλτράρει κακόβουλες εφαρμογές που κλέβουν τα δεδομένα και τα χρήματα των χρηστών. Λίγο γνωρίζει η εταιρεία, οι απατεώνες έχουν ήδη βρει κενά για να το κάνουν ακόμη και με τη διαδικασία αναθεώρησης του App Store.
Η εταιρεία ασφαλείας αναφέρει ότι όλοι οι ιστότοποι που σχετίζονται με κρυπτογράφηση έχουν αναφερθεί στην Apple και Google καικαταλήγειΌτι απαιτείται συλλογική προσπάθεια για τη συγκράτηση αυτού του οργανωμένου συνδικάτου Cryptorom που χρησιμοποιεί κρυπτογράφηση, κοινωνική μηχανική και ψεύτικες εφαρμογές για να στοχεύσει τους ευάλωτους χρήστες και να κλέψει χιλιάδες δολάρια.
Η μόνη μακροπρόθεσμη λύση για την πρόληψη αυτών των απάτη είναι μια συλλογική απάντηση. Οι τράπεζες και οι χρηματοπιστωτικοί οργανισμοί πρέπει να παρέχουν ανιχνευσιμότητα για συναλλαγές κρυπτογράφησης. Οι εταιρείες κοινωνικών μέσων ενημέρωσης θα πρέπει να προειδοποιούν τους χρήστες για αυτές τις απάτες και θα πρέπει να εντοπίζουν μοτίβα και να καταργούν τα ψεύτικα προφίλ που διαπράττονται αυτή την απάτη. Τέλος, η Apple και η Google θα πρέπει να προειδοποιήσουν τους χρήστες ότι οι πρόσφατα εγκατεστημένες εφαρμογές "side-φορτωμένες" δεν προέρχονται από επίσημες πηγές.
Διαβάστε περισσότερα:Ο επανασχεδιασμός του TestFlight στο iOS 18 προσφέρει περιγραφές, στοχοθετημένες δοκιμές βήτα και πολλά άλλα
Διαβάστε περισσότερα:
- PSA: Οι απατεώνες χρησιμοποίησαν το iPhone 13 για να εξαπατήσουν το bitcoin αξίας 69.000 $