+99 к навыкам "мамкиного кулхацкера"
Мошенники, распространяющие вредоносные программы для iOS, активизировали своюработу, используя две законные функции Apple, чтобы обойти требования проверки App Store и обманом заставить людей установить вредоносные приложения.
Проникнуть в App Store всегда было непросто.
Apple уже давно требует, чтобы приложения проходили проверку на безопасность и допускались в App Store, прежде чем их можно будет установить на iPhone и iPad. Проверка не позволяет вредоносным приложениям попасть на устройства, где они могут украсть криптовалюту, пароли или совершить другие неблаговидные действия.
Сообщение, опубликованное в среду компанией Sophos, проливает свет на два новых метода, используемых в организованной преступной кампании под названием CryptoRom, которая продвигает поддельные криптовалютные приложения ничего не подозревающим пользователям iOS и Android. В то время как Android разрешает загрузку приложений из сторонних маркетов, Apple требует, чтобы приложения для iOS поступали из App Store, после того как они прошли тщательную проверку безопасности.
Дешевле и проще
Введите TestFlight, платформу, которую Apple предоставляет для бета-тестирования новых приложений. Установив приложение TestFlight от Apple из App Store, любой пользователь iOS может загружать и устанавливать приложения, которые еще не прошли процесс проверки. После установки TestFlight пользователь может загрузить непроверенные приложения, используя ссылки, которые злоумышленники публикуют на мошеннических сайтах или в электронных письмах. Люди могут использовать TestFlight, чтобы пригласить до 10 000 тестеров, используя свой адрес электронной почты или поделившись общедоступной ссылкой.
"Некоторые из обратившихся к нам жертв сообщили, что им было предложено установить приложение, которое, как оказалось, является BTCBOX, приложением для японской криптовалютной биржи", - написал Джагадиш Чандрайя, аналитик вредоносных программ в компании Sophos. "Мы также обнаружили поддельные сайты, которые выдавали себя за фирму BitFury, занимающуюся добычей криптовалюты, и продавали поддельные приложения через TestFlight. Мы продолжаем искать другие приложения CryptoRom, использующие тот же подход".
В сообщении, опубликованном в среду, было показано несколько изображений, использованных в кампании CryptoRom. Пользователи iOS, клюнувшие на эту приманку, получили ссылку, при нажатии на которую приложение TestFlight загрузило и установило поддельное криптовалютное приложение.
Чандрайя сказал, что вектор TestFlight дает злоумышленникам преимущества, недоступные для более известных методов обхода App Store, которые также используют законные функции Apple. Одной из таких функций является платформа Apple Super Signature, которая позволяет людям использовать свою учетную запись разработчика Apple для создания приложений на ограниченной специальной основе. Другой функцией является корпоративная программа компании для разработчиков. Она позволяет крупным организациям устанавливать собственные приложения для внутреннего использования без необходимости использования App Store сотрудниками. Оба этих метода требуют от мошенников денежных вложений и создают определенные трудности в процессе реализации.
Простота использования TestFlight выгодно его отличает, сказал Чандрая:
"Дешевле в использовании, чем другие схемы, потому что все, что вам нужно, это IPA-файл со скомпилированным приложением. Распространением занимается кто-то другой, и когда (или если) вредоносное ПО будет замечено и отмечено, разработчик вредоносного ПО может просто перейти к следующему сервису и начать все сначала. В некоторых случаях разработчики вредоносных приложений предпочитают [TestFlight], а не Super Signature или Enterprise Signature, поскольку они немного дешевле и выглядят более легитимными при распространении с помощью приложения Apple Test Flight. Также считается, что процесс проверки менее строгий, чем проверка App Store.
Это еще не все.
В сообщении говорится, что мошенники CryptoRom используют вторую функцию Apple, известную как WebClips, чтобы также замаскировать свою деятельность. Эта функция добавляет ссылку на веб-страницу прямо на главный экран iPhone в виде значка, который можно спутать с настоящим приложением. WebClips появляется после того, как пользователь сохранил веб-ссылку.
По словам исследователя Sophos, CryptoRom может использовать WebClips для добавления влияния на вредоносные URL-адреса, продвигающие поддельные приложения. Вот иконка приложения под названием RobinHand, которое призвано имитировать законное торговое приложение Robinhood.
Мошенники CryptoRom в значительной степени полагаются на социальную инженерию. Они используют различные уловки, чтобы построить отношения с объектами, даже если они никогда не встречаются лицом к лицу. Среди таких уловок - социальные сети, сайты знакомств и приложения для знакомств. В других случаях мошенники завязывают отношения через "кажущиеся случайными сообщения WhatsApp, предлагая получателям советы по инвестициям и торговле".
Злоупотребление TestFlight и WebClips, скорее всего, будет замечено опытными пользователями Интернета, но менее опытные люди могут быть одурачены. Пользователям iOS следует с осторожностью относиться к любым сайтам, электронным письмам или сообщениям, которые инструктируют их загружать приложения не из официального App Store.