Sophos詳細介紹在Apple App Store上發現的第一個CryptoRom詐騙的假App

Sophos是創新和提供網路安全即服務的全球領導者，今天在最新報告《詐騙App潛入Apple和Google應用程式商店》中，發布了對CryptoRom詐騙的最新發現。這是一場精心策劃的金融詐騙，誘使交友App的用戶進行假的加密貨幣投資。該報告詳細介紹了首批成功繞過Apple嚴格安全控管的假CryptoRom應用程式─Ace Pro和MBM_BitScan。而在之前，網路罪犯分子只能試圖說服受害者下載未在Apple App Store上架的非法iPhone App。Sophos立即通知Apple和Google；緊接著兩家公司都從各自的商店中刪除了這些詐騙App。

Sophos資深威脅研究員Jagadeesh Chandraiah表示：「一般來說，惡意軟體很難通過Apple App Store的安全審查流程。這就是為什麼當我們最初開始調查針對 iOS 用戶的CryptoRom詐騙時，詐騙者必須先說服用戶先安裝設定檔，然後才能安裝假的交易App。顯然，這需要一些額外的社交工程手法才行，而且很難達成。當許多潛在受害者無法直接下載一個據稱合法的 App 時，他們會『警覺』到某些事情不對勁。但若將App上架到App Store上，詐騙分子就能大大增加潛在的受害者對象，因為絕大多數用戶都會信任Apple。這兩款App也不受iOS最新鎖定模式的影響，該模式可防止詐騙分子載入用於社交工程的行動設定檔。事實上，CryptoRom詐騙分子很可能正在根據鎖定模式中的安全功能改變他們的策略，並專心設法繞過App Store 審查流程。」

例如，為了引誘被Ace Pro騙過的受害者，詐騙者會建立並積極維護一個假的Facebook帳號，和一個據稱在倫敦過著奢華生活的女性角色。在與受害人搭上線後，騙子會建議受害人下載詐騙 App Ace Pro，然後展開加密貨幣詐騙。

Ace Pro在應用商店中被歸類於QR碼掃描器，但實際上是一個詐騙加密貨幣交易平台。打開這個App後，用戶會看到一個可以存取款項的交易介面。但是，任何存入的錢都會直接流向詐騙者。為了繞過App Store的安全措施，Sophos認為詐騙者在App最初提交審查時，先將其連線到用途正當的遠端網站。該網域包含用於QR掃描的程式碼，因此App審核者會認為它是合法的。然而，一旦該App獲得核准，詐騙者就會將該App重新導向到另一個在亞洲註冊的網域。該網域會發送一個請求，讓來自另一台主機的內容進行回應，最終回傳的是假的交易介面。

MBM_BitScan也是適用於Android的App，但它在Google Play上被稱為BitScan。這兩個App都使用相同的命令和控制(C2)基礎架構進行通訊；然後，此C2基礎架構會與類似於日本合法加密公司的伺服器進行通訊。所有其他惡意內容都是經由網頁介面處理，這就是為什麼Google Play的程式碼審查人員很難偵測出它是詐騙App的原因。

CryptoRom是被稱為「殺豬盤」詐騙家族的一個子集，其是一個組織嚴密的聯合詐騙活動，結合使用交友社交工程、詐騙性加密貨幣交易App和網站，用來引誘受害者並在獲得信任後竊取他們的金錢。兩年來，Sophos一直在追蹤和回報這些騙取數百萬美元的騙局。