Sophos 揭示首宗虚假 CryptoRom 成功绕过 Apple 严格安全协定

Sophos最新发表的研究报告《潜藏Apple及Google等应用程式商店的投资交易诈骗应用程式》中，揭示了一宗利用交友App诱使受害人进行虚假加密货币投资的金融诈骗案。

过往，网路犯罪分子只能试图说服受害者，下载未能于Apple App Store上架的应用程式，而报告便详细分析了首宗成功绕过Apple严格安全协定的虚假CryptoRom应用程式 ── Ace Pro和MBM _BitScan。Sophos已即时通知Apple和Google，而两间公司均已把相关虚假应用程式从商店中下架。

Sophos 资深威胁研究员 Jagadeesh Chandraiah 表示：「恶意软体一般难以绕过Apple App Store的安全审查程序。我们最初针对iOS用户调查CryptoRom时，诈骗者必须先说服用户安装描述档，才能下载虚假交易应用程式。当无法从正当途径下载应用程式时，许多潜在受害者都会提高警觉。由此可见，诈骗者即使花费额外时间于社交工程，但却难以成功。虽然iOS系统最新的锁定模式可防止诈骗者下载用于社交工程的移动设定档，但该两款应用程式均不会受到该功能所限制。加密交易诈骗分子可根据锁定模式中的安全性能，继而改变策略，并专注绕过App Store的审查流程。」

正当远端网页瞒天过海 

当中，诈骗者为诱使曾于Ace Pro受骗的用户，他们捏造一位在伦敦过著奢华生活的女性身份，并创立和积极经营一个虚假的Facebook帐户。当与受害人成功联系后，诈骗者将建议受害人下载Ace Pro虚假应用程式，然后展开加密货币诈骗。

Ace Pro于应用程式商店中被界定为QRcode扫描器，但实际上是一个诈骗加密货币交易平台。用户打开应用程式后，可以看到一个存取款项的交易介面，然而任何存款都会直接落入歹徒手中。

为绕过App Store的安全审查，Sophos认为诈骗者在最初提交应用程式作审查时，先连接至正当的远端网页。由于该域名包含用于QRcode扫描的程式码，令应用程式审查员误以为合法，但当应用程式一旦获得批准，诈骗者将把应用程式重新导向至另外一个亚洲注册的网域。然后，该网域将发送请求，并以另外一部主机来处理相关内容，而最终提供虚假的交易介面。

杀猪盘操控加密货币交易诈骗

MBM_BitScan亦同时兼容Android应用程式，但它在Google Play的名称则为BitScan。这两款应用程式均使用相同的命令和控制（C2基础设施）来进行通讯。当C2基础设施在进行通讯时，其伺服器与一间正当的日本加密公司大同小异，而所有恶意内容将于网路介面中进行，因此Google Play的程式码审查人员难以辨别其真伪。

CryptoRom为大型诈骗集团的附属组织，普遍被坊间称为「杀猪盘」。透过不时策划各类型的诈骗活动，该组织结合以情感主导的社交工程及诈骗加密货币交易应用程式及网站，从而获取受害者的信任并窃取金钱。