Những cách qua mặt hệ thống kiểm soát ứng dụng của Apple để đánh lừa người dùng

Mặc dù không phải theo mặc định, người dùng có thể cài đặt ứng dụng bên ngoài cửa hàng Google Play thông qua một cài đặt đặc biệt. Nhưng trên iPhone, điều đó thực sự không thể. Trừ khi jailbreak (bẻ khóa) điện thoại (điều không được khuyến khích), người dùng sẽ chỉ phải sử dụng App Store, nguồn ứng dụng iPhone và iPad duy nhất. Tuy nhiên, như SophosLabs đã báo cáo vào năm ngoái, tội phạm mạng vẫn có thể dụ người dùng iPhone tham gia vào các trò gian lận ứng dụng tiền điện tử của họ bằng cách sử dụng Quy định dành cho doanh nghiệp. Đó là một tính năng doanh nghiệp của iPhone cho phép các ứng dụng riêng tư trong nhà do một công ty phát triển để sử dụng cho mục đích cá nhân được triển khai trực tiếp đến các thiết bị của công ty. Loại lừa đảo đó, được đặt tên là CryptoRom bởi công ty bảo mật Sophos, đã được theo dõi từ đầu năm 2021.

Phong cách gian lận mạng này, được gọi là sha zhu pan – nghĩa đen là “đĩa thịt lợn” – là một hoạt động gian lận có tổ chức tốt sử dụng kết hợp các trò gian lận phi kỹ thuật thường lợi dụng các trò gian lận tập trung và các ứng dụng tài chính và các trang web lừa đảo để gài bẫy và trộm tiền tiết kiệm của nạn nhân sau khi lấy được lòng tin của họ. Mặc dù trò lừa đảo ban đầu tập trung vào các nạn nhân châu Á, vào tháng 10 năm 2021, công ty Sophos đã ghi nhận sự mở rộng toàn cầu của mình.

Mối đe dọa này vẫn đang hoạt động rất tích cực và tiếp tục tác động đến các nạn nhân trên khắp thế giới, trong một số trường hợp phải trả giá bằng mạng sống của họ. Kể từ báo cáo của Sophos vào tháng 10 năm 2021, một số nạn nhân đã được liên hệ để báo cáo các ứng dụng và trang web CryptoRom mới. Trong một bài đăng vào tháng 3, Sophos nêu bật các trang web và ứng dụng di động giả mạo bổ sung đó, cũng như các thủ thuật lừa đảo phi kỹ thuật được sử dụng bởi các công cụ khai thác phần mềm độc hại – và một kiểu lạm dụng các kênh phân phối phần mềm Apple iOS khác để vượt qua kiểm tra bảo mật của App Store.

Lạm dụng iOS TestFlight

Đầu tiên, hãy xem xét vectơ lạm dụng mới. Vào năm 2021, Sophos đã phát hiện ra các ứng dụng lừa đảo CryptoRom dành cho các thiết bị iOS khai thác kế hoạch phân phối ứng dụng “Super Signature” của Apple (một phương thức phân phối đặc biệt hạn chế sử dụng tài khoản nhà phát triển) và lạm dụng kế hoạch triển khai ứng dụng doanh nghiệp của Apple. Hiện tại, bọn tội phạm đang lạm dụng kênh phân phối ứng dụng thử nghiệm TestFlight của Apple.

TestFlight được sử dụng để kiểm tra các phiên bản “beta” của ứng dụng trước khi chúng được gửi đến App store để phân phối. Apple hỗ trợ việc sử dụng phân phối ứng dụng TestFlight theo hai cách: cho các thử nghiệm ứng dụng nội bộ nhỏ hơn do tối đa 100 người dùng gửi bằng thư mời qua email và cho các thử nghiệm beta công khai lớn hơn hỗ trợ tối đa 10.000 người dùng. Phương thức phân phối dựa trên email nhỏ hơn không yêu cầu đánh giá bảo mật trên App Store, trong khi các ứng dụng TestFlight được chia sẻ bởi các liên kết web công khai yêu cầu đánh giá ban đầu của App Store.

Thật không may, giống như những gì đã thấy với các kế hoạch phân phối ứng dụng thay thế khác do Apple hỗ trợ, “TestFlight Signature” có sẵn dưới dạng dịch vụ của bên thứ ba được cung cấp trên Internet để triển khai ứng dụng. thay vào đó bằng cách sử dụng iOS, khiến mọi thứ trở nên quá đơn giản để các tác giả phần mềm độc hại có thể lạm dụng. Các dịch vụ của bên thứ ba này bị CryptoRoms lạm dụng rộng rãi.

Ảnh chụp màn hình của trang web cung cấp dịch vụ “TestFlight Signature” cho các nhà phát triển

Sử dụng Chữ ký TF rẻ hơn so với các chương trình khác vì tất cả những gì bạn cần là một tệp IPA với một ứng dụng đã được biên dịch. Việc phân phối do người khác xử lý và khi / nếu phần mềm độc hại được phát hiện, nhà phát triển phần mềm độc hại có thể chỉ cần chuyển sang dịch vụ tiếp theo và bắt đầu lại.

TF Signature được các nhà phát triển ứng dụng độc hại ưa thích trong một số trường hợp hơn Super Signature hoặc Enterprise Signature vì nó rẻ hơn một chút và trông hợp pháp hơn khi được phân phối với Apple Test Flight App. Quá trình đánh giá cũng được cho là ít khắt khe hơn so với đánh giá trên App Store.

Với lời thuyết phục rằng ứng dụng của họ là phiên bản giới hạn, chỉ những người được mời mới được phép tham gia và lợi dụng việc ứng dụng đăng ký chương trình TestFlight với Apple để khiến nạn nhân tin rằng ứng dụng đã được Apple thẩm định, bọn tội phạm đã lừa gạt nhiều người.

WebClips iOS

Nhiều người dùng iPhone bị thu hút bởi một cách tiếp cận khác để vượt qua App Store: họ bị những kẻ xấu gửi đến các URL phục vụ các WebClips iOS. WebClips là một tính năng cho phép thêm liên kết đến một trang web trực tiếp vào màn hình chính của thiết bị iOS, làm cho nó giống như một ứng dụng thông thường đối với những người dùng ít hiểu biết.

Trong khi điều tra một trong các URL của CryptoRom, Sophos nhận thấy các IP có liên quan đang lưu trữ các trang giống như Cửa hàng ứng dụng với các mẫu tương tự, nhưng có tên và biểu tượng khác nhau. Các “ứng dụng” bao gồm một ứng dụng bắt chước ứng dụng giao dịch phổ biến của Robinhood, được gọi là ‘RobinHand’. Logo của nó tương tự như của Robinhood.

Ngoài ra, tất cả các trang web giả mạo này còn có các trang web liên kết với các mẫu tương tự để thuyết phục người dùng – các nhãn hiệu và logo khác nhau, nhưng nội dung và cấu trúc web tương tự. Điều này giúp họ chuyển từ thương hiệu này sang thương hiệu khác khi bị chặn hoặc bị phát hiện.

Những trò lừa đảo mới như CryptoRom rất đáng được chú ý để cảnh báo người dùng. Tuy nhiên, họ cần lưu ý các thủ thuật để tận dụng Super Signature, TestFlight hoặc WebClips – những tính năng thường chỉ được nhóm phát triển biết đến – chứ không phải một số ứng dụng lừa đảo cụ thể như RobinHand. Nếu không được cập nhật, sách hướng dẫn sử dụng điện thoại và các giao dịch an toàn sẽ lỗi thời, khiến người dùng dễ bị kẻ xấu.

(Theo Sophos)