Se eliminaron dos aplicaciones fraudulentas de inversión en criptomonedas que pudieron eludir las protecciones implementadas por Apple y Google para proteger las descargas de sus tiendas de aplicaciones móviles, luego de que los investigadores de Sophos las identificaran como involucradas en una supuesta estafa CyptoRom.
En un informe publicado hoy, el investigador sénior de amenazas de Sophos, Jagadeesh Chandraiah, describió cómo las dos aplicaciones maliciosas probablemente pudieron escabullirse de los ojos brillantes de los moderadores de Apple y Google fingiendo ser algo diferente de lo que eran.
Las dos aplicaciones, denominadas Ace Pro y MBM_BitScan, se desarrollaron para usarse en una estafa de CryptoRom, un tipo elaborado de fraude financiero que se aprovecha de los usuarios de aplicaciones de citas, utilizando señuelos emotivos para atrapar a sus víctimas y engañarlas para que realicen inversiones falsas en criptomonedas. .
La aparición de las aplicaciones en los escaparates de las tiendas de Apple y Google es un hecho notable, explicó, porque esta es una hazaña que suele ser bastante difícil de lograr.
“En general, es difícil que el malware supere el proceso de revisión de seguridad en la App Store de Apple”, dijo Chandriah. “Es por eso que, cuando originalmente comenzamos a investigar las estafas de CryptoRom dirigidas a los usuarios de iOS, los estafadores tenían que persuadir a los usuarios para que primero instalaran un perfil de configuración antes de que pudieran instalar la aplicación comercial falsa.
“Obviamente, esto implica un nivel adicional de ingeniería social, un nivel que es difícil de superar”, agregó. “Muchas víctimas potenciales serían ‘alertadas’ de que algo no andaba bien cuando no podían descargar directamente una aplicación supuestamente legítima.
“Al colocar una aplicación en la App Store, los estafadores han aumentado enormemente su grupo de víctimas potenciales, especialmente porque la mayoría de los usuarios confían inherentemente en Apple”.
Omitir los procesos de revisión de la tienda
En el caso de Apple, agregó, las aplicaciones aparentemente no se vieron afectadas por la función del modo de bloqueo de iOS lanzada recientemente, una de las cuales es evitar que los estafadores carguen perfiles móviles útiles para la ingeniería social. En realidad, esto puede explicar por qué los creadores de malware centraron su atención en eludir los procesos de revisión de la tienda.
La primera aplicación, Ace Pro, se describe en la tienda de aplicaciones como un escáner de código QR, pero cuando se abre, los usuarios verán una interfaz comercial para depositar y retirar criptomonedas, que de hecho es simplemente un medio para enviar dinero a los estafadores.
Se sospecha que para eludir la seguridad de la tienda, los desarrolladores codificaron la funcionalidad mediante la cual se conectaba a un sitio web remoto con una funcionalidad benigna cuando la enviaban para su revisión. El dominio contenía un código que sí se relacionaba con el escaneo QR, lo que puede haberlo hecho parecer legítimo. Una vez aprobada, parecen haber redirigido la aplicación a otro dominio, que contactó a un tercer host para entregar la interfaz comercial falsa.
MBM_BitScan, también conocido como BitScan cuando se encuentra en Google Play, utiliza tácticas similares en el sentido de que primero se comunica con una infraestructura de comando y control (C2) que luego llama a un servidor que se parece a una empresa de cifrado legítima con sede en Japón. La actividad maliciosa en sí misma se maneja en una interfaz web en este punto, que parece haber sido la forma en que superó el proceso de moderación, ya que la aplicación en sí hizo poco para generar señales de alerta.
En un caso observado por Sophos en el otoño de 2022, los estafadores que ejecutan Ace Pro crearon un perfil de Facebook falso convincente para una mujer supuestamente rica que vivía en Londres. Esta persona atraía a sus víctimas con fotos de su lujoso estilo de vida, probablemente robadas de Internet, que incluían comidas en restaurantes de lujo y compras en tiendas de lujo. Para mantener las cosas actualizadas, la persona a menudo actualizaba su perfil con noticias que hacían referencia a eventos actuales como la muerte de la reina Isabel II, y le gustaban y seguía varias empresas y organizaciones con sede en el Reino Unido para mantener la ilusión.
Después de entablar con éxito una relación con una víctima que supuso que tenían algo bueno, los estafadores les dijeron que el tío de la mujer trabajaba en una firma de análisis financiero y los invitaron a intercambiar criptomonedas con ella a través de la aplicación Ace Pro. Enviaron instrucciones detalladas sobre cómo “invertir” con la aplicación, diciéndoles que primero transfirieran dinero al intercambio de criptomonedas de Binance y de allí a la aplicación falsa.
En este caso, la víctima al principio pudo retirar algunas pequeñas cantidades de criptomonedas usando Ace Pro, pero más tarde, cuando intentaron retirar más fondos, la cuenta se bloqueó repentinamente y un representante de atención al cliente, en realidad los estafadores. – les dijo que tendrían que pagar una tarifa del 20% para acceder a sus fondos.
Matanza de cerdos
Las estafas de CryptoRom como las que se ejecutan a través de Ace Pro y MBM_BitScan finalmente forman parte de una familia más amplia de estafas conocidas como plato de matanza de cerdos, que en última instancia se traduce del término chino sha zhu pan (杀猪盘).
Por lo general, se originan en China y, a veces, en Taiwán, y antes de Covid se enfocaba principalmente en los juegos de azar. Sin embargo, durante la pandemia, sus operadores comenzaron a expandirse globalmente y evolucionaron hacia el comercio fraudulento de divisas y criptografía. Muchos ahora confían en una combinación de ingeniería social con temas románticos y aplicaciones criptográficas falsas para atraer a sus víctimas y robarles el dinero después de ganarse su confianza.
La represión de las autoridades chinas contra dicha actividad también ha hecho que muchos de los operadores se trasladen a jurisdicciones más indulgentes en la región de Asia-Pacífico, siendo Camboya especialmente favorecida, según Sophos.
Estas estafas están bien organizadas con una estructura que recuerda a un negocio legítimo, con una oficina central que supervisa y lava el dinero, y subcontrata las operaciones a grupos afiliados que también tienen sus propias estructuras organizativas que manejan sitios web y aplicaciones, financiación y, en el fondo, pila, los guerreros del teclado que finalmente interactuarán con las víctimas.
También hay pruebas preocupantes de que muchos de los operadores de bajo nivel son víctimas de la trata de personas a quienes se les prometieron trabajos bien remunerados en las Zonas Económicas Especiales de Camboya, pero al llegar al país les quitaron los pasaportes. Si se niegan a trabajar o tratan de huir, pueden ser objeto de violencia.
A pesar del nombre despectivo que se les aplica y la tendencia a descartarlos como ingenuos o tontos, es fácil para casi cualquier persona ser víctima de una estafa de matanza de cerdos. Los investigadores de Sophos pudieron hablar con varias víctimas y descubrieron que, en general, eran personas sensatas y bien educadas. No todos ellos, como cabría esperar, eran hombres.
Lo que sí tienen en común son características como la vulnerabilidad emocional: muchos de ellos habían pasado recientemente por un cambio importante en la vida, como duelo, divorcio o enfermedad, lo que puede hacer que las personas sean más susceptibles de ser manipuladas para cometer fraude.
Además de la suya, los estafadores de la matanza de cerdos tienden a depender del tiempo que pasan interactuando con sus víctimas, a menudo muchos meses, y otros métodos para generar confianza, como la construcción de capturas de pantalla falsas para demostrar que también están invirtiendo su dinero, y en este caso, jugando con la confianza innata que tienen las personas de que Apple App Store y Google Play Store son seguras.
Darle a la víctima la capacidad de recuperar una pequeña cantidad de dinero al comienzo de la estafa como una promesa de mayores riquezas por venir también es una táctica común que se usa para generar confianza en un esquema Ponzi fuera de línea, y probablemente desempeñó un papel aquí.