Productos y Servicios PRODUCTOS Y SERVICIOS

Las aplicaciones comerciales fraudulentas de “CryptoRom” se cuelan en las tiendas de aplicaciones de Apple y Google

Al cambiar el contenido remoto, las aplicaciones se deslizan por el proceso de revisión oficial para generar fraude a través de Apple App Store y Google Play Store.

CryptoRom es un enfoque centrado en el romance para el fraude financiero y una forma de lo que también se conoce como “matanza de cerdos” o “sha zhu pan” (杀猪盘, literalmente “plato de matanza de cerdos”). Este tipo de fraude utiliza la ingeniería social en combinación con aplicaciones financieras y sitios web falsificados para atrapar a las víctimas y robarles su dinero. Durante los últimos dos años, hemos investigado este tipo de estafas y hemos examinado las formas en que sus operadores han evadido los controles de seguridad de Apple evitando la tienda de aplicaciones y utilizando métodos ad-hoc para colocar aplicaciones maliciosas en los teléfonos de las víctimas. Recientemente, descubrimos aplicaciones CryptoRom que derrotaron los procesos de revisión de seguridad de la tienda de aplicaciones de Apple y Google, abriéndose paso en las tiendas oficiales. Las víctimas de la estafa nos alertaron sobre las aplicaciones y compartieron detalles de las operaciones criminales detrás de ellas. En el proceso de investigación de las aplicaciones, encontramos otras aplicaciones y descubrimos información sobre las organizaciones detrás de estas operaciones de estafa.

En ambos casos, las víctimas fueron abordadas a través de aplicaciones de citas (Facebook y Tinder). Luego se les pidió que trasladaran su conversación a WhatsApp, donde finalmente se les atrajo para que descargaran las aplicaciones que se analizan en este informe. Si bien los perfiles altamente desarrollados y las historias de fondo solían atraer a las víctimas para que confiaran en la guía brindada por los delincuentes, preparaban la mesa para estas estafas, la capacidad de publicar las aplicaciones utilizadas en estos esquemas en las tiendas oficiales contribuyó significativamente a su credibilidad percibida a los ojos. de víctimas

Tanto Apple como Google han sido notificados sobre estas aplicaciones. El equipo de seguridad de Apple los eliminó rápidamente de esa tienda de aplicaciones. Google también eliminó recientemente la aplicación que informamos de Play Store.

Atraer a las víctimas a través de aplicaciones de citas

En el primer caso que investigamos, la víctima residía en Suiza. El objetivo conoció a su “socio potencial”, una persona o personas que usaron un perfil de una mujer supuestamente con sede en Londres, a través de Facebook Dating. Como se vio en los otros casos, el perfil de Facebook del estafador estaba repleto de fotos que parecían mostrar un estilo de vida lujoso, incluidas fotos de restaurantes de lujo, tiendas y destinos caros, y selfies casi perfectos y de apariencia profesional. Es muy probable que el contenido del perfil se haya comprado a un proveedor externo o se haya robado de Internet.

A dozen small screen captures of photos sent by the persona showing "her" lifestyle (nice meals and wines, a day at the beach) and the persona "herself" -- a young-looking woman. Figura1: La “vida” cotidiana de una mujer inexistente; algunas imágenes probablemente fueron creadas por los estafadores o por un proveedor pagado, mientras que otras probablemente fueron robadas de otro lugar en Internet

Para mantener la apariencia de ser de Londres, los delincuentes detrás del perfil publicaron eventos de BBC News, como el funeral de la reina Isabel II, en la línea de tiempo de Facebook de la persona. A la persona también le “gustaba” y seguía organizaciones que indicaban interés en la BBC y empresas occidentales conocidas.

A screen showing the persona's check-ins (Switzerland) and likes (BBC News, BMW, Cisco, Denner). These are used to give the persona credibility and enhance the larger social-engineering effort.

Figura 2: los registros y los Me gusta en el perfil de la persona ayudaron a los estafadores a generar credibilidad para su creación

Después de establecer una relación, los delincuentes detrás del perfil le dijeron a la víctima que “su” tío trabajaba para una firma de análisis financiero e invitaron a la víctima a comerciar con criptomonedas juntos. En este punto, los estafadores enviaron a la víctima un enlace a la aplicación falsa en la tienda de aplicaciones de Apple. Instruyeron a la víctima sobre cómo comenzar a “invertir” con la aplicación, diciéndoles que transfirieran dinero al intercambio de criptomonedas de Binance y luego de Binance a la aplicación falsa.

Inicialmente, la víctima pudo retirar pequeñas cantidades de criptomonedas. Pero más tarde, cuando la víctima quería retirar cantidades mayores, la cuenta se bloqueó y se le indicó a través de un chat de “atención al cliente” en la aplicación que pagara una tarifa del 20 % (como se muestra en la Figura 3) para acceder a la criptomoneda.

A screen capture, lightly redacted by Sophos, showing what the victim sees at the blow-off for the CyptoRom scam. It reads: "Hello, dear user, your ID card information has been verified. You also need your own account wallet to deposit USDT with 20% of the account balance (deposit USDT). The system will be suitable for all your account information. After the completion, the manual customer service will handle the temporary account lock release for you."

Figura 3: Una vez que se ha establecido la confianza en la aplicación falsa, la capacidad de la víctima para retirar dinero se “bloquea” repentinamente

La segunda víctima siguió un camino similar, con la diferencia de que el contacto inicial fue a través de Tinder. El estafador solicitó trasladar la conversación a WhatsApp y luego solicitó a la víctima que descargara una aplicación falsa diferente de la tienda de aplicaciones de iOS. La víctima se dio cuenta de la estafa, pero solo después de perder $4,000 USD.

Aplicaciones falsas en la App Store de Apple

Anteriormente, las aplicaciones de iOS que hemos visto asociadas con estafas de matanza de cerdos/CryptoRom se implementaron desde fuera de la tienda oficial de aplicaciones de Apple a través de servicios de distribución ad hoc. Para lograr que las víctimas las instalaran, los delincuentes detrás de las estafas tenían que usar la ingeniería social: tenían que convencer a las víctimas de que instalaran un perfil de configuración para habilitar la instalación de la aplicación, un proceso que podría asustar a muchos objetivos. Pero en los casos que investigamos recientemente, las aplicaciones utilizadas por los estafadores se colocaron con éxito en la App Store de Apple, lo que redujo en gran medida la cantidad de ingeniería social necesaria para llevar la aplicación a los dispositivos de las víctimas.

La primera de estas aplicaciones apareció en la primera inspección para no tener conexión con la criptomoneda; llamada “Ace Pro”, la aplicación se describió en su página de la tienda de aplicaciones como una aplicación de verificación de códigos QR.

A screen capture from Apple's app store, showing the Ace Pro app on offer (since removed).

Figura 4: La página de descarga de la tienda de aplicaciones para Ace Pro, desde que se eliminó

La traducción automática del texto (del eslovaco):

“Ace Pro” por aplicación, que convierte la información del código QR de conducción rápida a través
información de conducción. Es fácil de cargar y fácil de usar. Puede transformar tu
información de tren muy bien, lo que le permite pasar rápidamente a través del viaje. Ahorrar tiempo…”

 

The privacy policy for the application also describes it as a “QR Check” application.The "privacy policy" for the app, reading: Cynthia St-Pierre built the QR Check app as a Free app. This SERVICE is provided by Cynthia St-Pierre at no cost and is intended for use as-is. This page is used to inform visitors regarding my policies with the collection, use, and disclosure of Personal Information if anyone decided to use my Service."

Figura 5: La política de privacidad de Ace Pro

La segunda aplicación CryptoRom que descubrimos en la tienda de aplicaciones de Apple se llamaba “MBM_BitScan”, descrita en la lista de la tienda como un rastreador de datos en tiempo real para criptomonedas. Pero también tiene una interfaz de criptocomercio falsa. Una víctima perdió alrededor de $ 4000 con esta aplicación falsa

The MBM_BitScan app as seen on Apple's store before the app was removed. There are multiple iPhone screenshots showing the app's "trading" interface and setting screens.

Figura 6: La página de descarga de la tienda de aplicaciones para MBM_BitScan, desde que se eliminó

Ambas aplicaciones lograron pasar el proceso de revisión de la App Store de Apple. Todas las aplicaciones que se instalan a través de la tienda de aplicaciones de Apple deben estar firmadas por el desarrollador mediante un certificado proporcionado por Apple y deben pasar por un proceso de revisión estricto para verificar que siguen las pautas de la tienda de aplicaciones.

Si los delincuentes pueden pasar estos controles, tienen el potencial de llegar a millones de dispositivos. Esto es lo que lo hace más peligroso para las víctimas de CryptoRom, ya que es más probable que la mayoría de esos objetivos confíen en la fuente si proviene de la App Store oficial de Apple.

Evadir la revisión de la tienda de aplicaciones

A chart visually recapping the subversion of the app-approval process, which is described below in text.

Figura 7: Cómo las aplicaciones fraudulentas probablemente evadieron el proceso de revisión de Apple.

Ambas aplicaciones que encontramos usaban contenido remoto para proporcionar su funcionalidad maliciosa, contenido que probablemente estuvo oculto hasta después de que se completó la revisión de la App Store.

En el caso de la aplicación Ace Pro, los desarrolladores maliciosos insertaron un código relacionado con la verificación de QR y otro código de la biblioteca de la aplicación iOS en la aplicación para que los revisores los vieran legítimos. Pero cuando se inicia la aplicación, envía una solicitud a un dominio registrado en Asia (rest[.]apizza[.]net), que responde con contenido de otro host (acedealex[.]xyz/wap). Es esta respuesta la que ofrece la interfaz comercial falsa de CryptoRom. Es probable que los delincuentes usaran un sitio de aspecto legítimo para obtener respuestas en el momento de la revisión de la aplicación, cambiando a la URL de CryptoRom más tarde.

Split-screen image showing analysis of the specific web request from the Ace Pro app. On the left, the call to rest-dot-apizza-dot-net is visible. On the right, the returned data includes a link to a page on acedealex-dot-sys.

Figura 8: La solicitud web capturada y la respuesta de la aplicación Ace Pro

La aplicación MBM_BitScan utiliza un enfoque similar. Al ejecutarse, envía una solicitud JSON a un servidor de comando y control (C2) alojado en Amazon Web Services y obtiene una respuesta de un dominio llamado flyerbit8(.)com, un dominio diseñado para parecerse al bitcoin japonés legítimo. vendedor bitFlyer:

Split-screen image showing analysis of the specific web request from the MBM_BitScan app. On the left, the call to the "flyerbit" AWS instance is visible; on the right, the returned data includes a link to flyerbit8-dot-com-whack-home.

Figura 9: La solicitud web realizada por la aplicación MBM_BitScan y la respuesta que entrega el paquete JSON que contiene la URL del sitio web malicioso que ofrece la aplicación comercial falsa

Esta técnica de evasión de reseñas, que está relacionada con el malware de fraude de clics, ha sido vista anteriormente por otros investigadores en aplicaciones iOS falsas que datan de 2019.

Interfaces criptográficas falsas

El contenido remoto que se muestra dentro de estas aplicaciones es similar a otras aplicaciones de estafa de matanza de cerdos y CryptoRom que hemos visto. Ambos tienen una interfaz comercial que funciona pero es falsa con la supuesta capacidad de depositar y retirar moneda, así como una función de servicio al cliente incorporada. Pero todos los depósitos van a los bolsillos de los ladrones en lugar de a una cuenta comercial real.

Multiple screen captures showing the Ace Pro interface, including account-management options and market pricing for various cryptocurrencies.

Figura 10: La interfaz comercial en la aplicación Ace Pro

A screen capture from a phone showing the "buy crypto" option on MBM_BitScan, including various numbers indicating market movement among BitCoin, Ethereum, and other currencies.

Figura 11: La interfaz de la aplicación falsa MBM_BitScan, con una opción para comprar criptomonedas

Debido a que estas interfaces comerciales se cargan en tiempo de ejecución, y debido a que la totalidad del contenido malicioso de las aplicaciones reside en el servidor web y no en el código de la aplicación, es un desafío para las tiendas de aplicaciones revisar y encontrar estas aplicaciones falsas. Son difíciles de identificar como fraudulentos por parte de los revisores con solo ver el código. Y dado que es probable que solo los utilicen las personas objetivo de las estafas, solo los usuarios objetivo que estén familiarizados con las versiones legítimas de las aplicaciones y que comprendan las criptomonedas los denunciarán. Debido a estos factores, este tipo de aplicaciones falsas seguirán representando un desafío importante para los revisores de seguridad de aplicaciones de Apple.

Aplicación Google Play Store

La versión de Google Play Store de MBM_BitScan tiene un nombre de proveedor diferente y un título diferente al de la versión de Apple. Sin embargo, se comunica con el mismo C2 que la versión iOS de la aplicación y, del mismo modo, accede al dominio que aloja la interfaz comercial falsa a través de JSON. Recibe flyerbit8<dot>com, que, como se señaló anteriormente, se asemeja a la empresa criptográfica japonesa legítima bitFlyer. Todo lo demás se maneja en la interfaz web.

Screen captures from an Android phone showing the "BitScan" interface and the installation page on Google's app store.

Figura 12: La aplicación MBM_BitScan como se ve en Google Play Store

A code snippet showing the JSON data retrieved via an AWS-based URL.

Figura 13: La versión de Android del método getUrl de la aplicación MBM_BitScan, con una URL basada en AWS que obtiene los datos JSON que contienen la interfaz CryptoRom

Los actores detrás de los anillos CryptoRom

CryptoRom y otras formas de “sacrificio de cerdos” inicialmente se dirigieron a personas en China y Taiwán. Las primeras estafas se centraron en los juegos de azar en línea con información privilegiada, utilizando tácticas similares a CryptoRom. En el transcurso de la pandemia de COVID-19, las estafas se expandieron a nivel mundial y evolucionaron hacia el comercio fraudulento de divisas y criptomonedas. Estamos rastreando a este actor de amenazas como el grupo “ShaZhuPan”.

Cuando las autoridades chinas comenzaron a tomar medidas enérgicas contra estas estafas y procesaron a algunos perpetradores, algunas de las pandillas detrás de ellas huyeron a países más pequeños del sudeste asiático, incluida Camboya, donde ahora operan en zonas económicas especiales (SEZ).

Según los informes de las organizaciones policiales chinas que se dirigieron a estas operaciones en China, los grupos CryptoRom siguen una estructura comercial que imita un modelo organizacional corporativo. En la parte superior hay una oficina central, que hace la supervisión y el lavado de dinero. La oficina central subcontrata operaciones de estafa a organizaciones afiliadas. Estas operaciones de franquicia, también llamadas agentes, tienen su propia división del trabajo:

  • El equipo de “recepción” se encarga de la logística, el tráfico de personas (más sobre esto a continuación) de nuevos trabajadores y la administración del sitio.
  • El equipo técnico maneja sitios web y aplicaciones.
  • El equipo de finanzas maneja las operaciones financieras locales; las utilidades se dividen 40:60 entre la casa matriz y la franquicia.
  • Los teclistas están en la parte inferior de la cadena del crimen y son los que interactúan más con las víctimas.

A flow chart showing in a visual format the information given in the bullet list above.

Figura 14: El organigrama de un grupo típico de matanza de cerdos

Durante el Covid-19, muchos países subdesarrollados no tenían empleos ni prestaciones sociales suficientes para apoyar a los afectados por las perturbaciones económicas. Esto empujó a muchos jóvenes a aceptar ofertas de trabajo en zonas económicas especiales de otros países que prometían salarios altos. Muchos de estos fueron ofertas de trabajo fraudulentas vinculadas a redes de matanza de cerdos; cuando llegaban los trabajadores, eran transportados a los centros CryptoRom y se les confiscaban los pasaportes.

A menudo, los teclistas son estas víctimas de la trata, traídas de países como China, Malasia e India con la promesa de trabajos mejor pagados. Están capacitados con guiones preescritos con instrucciones sobre cómo interactuar, qué decirles a sus víctimas y cómo atraerlas a invertir. Si quieren irse o no siguen el guión, se dice que son objeto de violencia.

A page of scripted dialogue from a handbook for keyboarders working a CryptoRom scam. The text in the image is auto-translated and describes the "cut-in method" guiding the conversation to putting money into the scam while giving assurances that the keyboarder is actually the scam "persona" living an exciting and wealthy life.

Figura 15: Manual de capacitación traducido publicado en Reddit por un antiguo teclista

¿Por qué las víctimas caen en esto?

Una de las preguntas que viene a la mente de todos al leer estos artículos sobre personas que pierden dinero con CryptoRom es: “¿Por qué hacen esto?” ¿Por qué las víctimas invierten tanto dinero en estas estafas a pesar de las muchas señales de alerta en el camino, especialmente cuando ni siquiera han conocido a la persona cara a cara?

Es fácil juzgarlos rápidamente, pero está mal descartar a las víctimas de estas estafas sin comprender las circunstancias que las llevaron a caer en las trampas. Después de discutir con varias víctimas y revisar las publicaciones públicas de otros, identificamos algunas de las posibles razones por las que pasaron por alto las amenazas. Muchas de las víctimas (tanto hombres como mujeres) tenían una buena educación; algunos incluso tenían doctorados. Fueron influenciados por las técnicas de persuasión utilizadas en estas estafas:

  • La duración del compromiso: los estafadores pueden pasar varios meses ganándose la confianza de la víctima, chateando con ella, saludándola y enviándole imágenes de la vida cotidiana típica. Es menos probable que las víctimas investiguen los elementos de la estafa debido a la persistencia del contacto con los estafadores.
  • La prueba de un retiro inicial: las víctimas estaban convencidas por el hecho de que la estafa les permitió retirar dinero de las transacciones iniciales. Esta táctica es un método usado también por los esquemas Ponzi tradicionales para hacer que la estafa de confianza parezca más auténtica.
  • Reflejo de transacciones: los estafadores usan capturas de pantalla de la aplicación falsa para mostrar que están haciendo lo mismo que le piden a la víctima que haga, y muestran las ganancias (falsas) que están obteniendo. Le piden a la víctima que haga las mismas transacciones, mientras la convencen de aumentar su depósito en el mercado falso.
  • Préstamos falsos: cuando las víctimas tienen que pagar impuestos falsos, como golpe final, fingen pagar la mitad de la factura de impuestos por la víctima y le piden a la víctima que traiga la otra mitad.

Hay otros factores que contribuyen a que las víctimas estén potencialmente más abiertas a la persuasión:

  • Vulnerabilidad emocional: la mayoría de ellos eran vulnerables a la manipulación emocional. En muchos casos, las víctimas eran hombres o mujeres que habían experimentado algún tipo de cambio de vida importante. Algunos no habían tenido éxito en el grupo de citas, habían enviudado recientemente o habían experimentado una enfermedad grave.
  • El auge de las finanzas basadas en aplicaciones: el surgimiento de empresas “FinTech” (tecnología financiera) sin sucursales físicas en los últimos años ha hecho que sea más difícil detectar las falsas, especialmente cuando las presenta alguien de confianza.

Confianza en la plataforma: finalmente, y quizás lo más importante, las víctimas confían en Apple y Google, que afirman verificar y verificar todas las aplicaciones distribuidas por sus tiendas de aplicaciones.
Eliminación de una aplicación CryptoRom

Si instaló una aplicación CryptoRom a través de cualquier tienda de aplicaciones, simplemente elimine la aplicación. En dispositivos Apple:

  1. Toca y mantén presionada la aplicación hasta que se mueva.

Luego toque el botón Eliminar (la X) en la esquina superior izquierda de la aplicación para eliminarla. Si ve un mensaje que dice: “Eliminar esta aplicación también eliminará sus datos”, toque Eliminar.
Si instaló el perfil desde fuera de la tienda de aplicaciones utilizando un perfil, la documentación de Apple recomienda estos pasos:

  1. Si la aplicación tiene un perfil de configuración, elimínelo si lo instaló
    • Vaya a Configuración > General > Perfiles o Administración de perfiles y dispositivos*, luego toque el perfil de configuración de la aplicación.
    • Luego toque Eliminar perfil. Si se le solicita, ingrese la contraseña de su dispositivo, luego toque Eliminar.

Reinicia tu iPhone.
* Si no ve esta opción en Configuración, entonces no hay perfiles de administración de dispositivos instalados en su dispositivo.

Para los usuarios de Android, desde su teléfono puede eliminar la aplicación desde Google Play Store o hacer lo siguiente:

  1. Mantenga presionado el ícono de la aplicación hasta que aparezca la ventana emergente Seleccionar / Agregar a Inicio / Desinstalar. Toque “Desinstalar” (a la derecha).
  2. Cuando la ventana emergente pregunte “¿Quieres desinstalar esta aplicación?”, elige “Aceptar”.
  3. Confirme que la aplicación se ha ido yendo a “Configuración” (el engranaje en la esquina superior derecha de su pantalla), haciendo clic en “Aplicaciones” y desplazándose para confirmar que la aplicación no se ha demorado.

¿Eres una víctima y quieres que revisemos tu aplicación o URL?

Si ha experimentado este tipo de fraude o desea denunciar aplicaciones sospechosas o URL conectadas a CryptoRom u otro malware sin costo alguno, comuníquese directamente a través de Twitter a @jag_chandra.

SophosLabs desea agradecer a Xinran Wu y Szabolcs Lévai por su contribución a este artículo.

COI

URL de la aplicación: https://apps.apple.com/US/app/id1642848412

ID – com.QRCheck.APP

API – c336394b1600fc713ce65017ebf69d59e352c8d9how