製品とサービス 製品とサービス

CryptoRom 詐欺、iPhone と Android で被害が拡大中

iOS TestFlight および WebClips の悪用をソーシャルエンジニアリングおよび有名サイトにそっくりな偽サイトと併用することで、詐欺師は被害者の懐に二重、三重に入り込んでいます。

** 本記事は、CryptoRom Bitcoin swindlers continue to target vulnerable iPhone and Android users の翻訳です。最新の情報は英語記事をご覧ください。**

iOS TestFlight および WebClips の悪用をソーシャルエンジニアリングおよび有名サイトにそっくりな偽サイトと併用することで、詐欺師は被害者の懐に二重、三重に入り込んでいます。

Netflix の番組「Tinder Swindler」の影響で、ロマンス詐欺が最近注目を浴びています。この番組の筋書きは、我々が「CryptoRom」と名付けた組織的な詐欺攻撃と似ている部分があります。この攻撃については 2021 年の初頭に初めて記事にしました。ロマンス詐欺と CryptoRom の違いは、対面でのやり取りを必要としないところです。

この種のサイバー詐欺は、「豚の屠殺台」を意味する中国語から sha zhu pan (杀猪盘) と呼ばれています。この詐欺は、恋愛感情を利用したソーシャルエンジニアリングと悪意のある金融アプリや Web サイトを組み合わせて被害者を陥れ、信用を得た後に貯蓄を騙し取る、組織的な詐欺攻撃です。
この種の詐欺は、当初はアジア人を標的としていました。しかし、2021 年 10 月にはすでに世界的に広がっていることを記事にしています。

この詐欺の脅威はまだ非常に大きく、世界中に被害者を生み出し続けており、生活資金を失ってしまう例も報告されています。10 月に本件を記事にして以降も、さらなる被害者によって新しい CryptoRom のアプリケーションや Web サイトが報告され続けています。本記事では、これらの新たな偽アプリや Web サイト、マルウェアのオペレーターが使用するソーシャルエンジニアリングの手法、および Apple iOS のソフトウェア配布方式を悪用して App Store のセキュリティ審査を回避する新たな手法に焦点を当てます。

iOS TestFlight の悪用

まずは iOS のソフトウェア配布方式の悪用についてです。以前、iOS デバイス向けの CryptoRom の偽アプリが Apple の「Super Signature」配布方式 (開発者アカウントを使用した限定的なアドホック (ad-hoc) 配布方式) とApple の Enterprise 配布方式を悪用しているのを確認しました。現在、CryptoRom の作成者がこれらに加えて Apple の TestFlight を悪用しているのが発見されました。

TestFlight は、配布するアプリケーションを App Store に提出する前に、そのアプリの「ベータ」版をテストするために利用されます。Apple は、TestFlight によるアプリケーション配布を 2 通りサポートしています。1 つは招待メールによる 100 人までの小規模な社内アプリケーションテスト、もう 1 つは 10,000 人までの大規模なパブリックベータテストです。電子メールベースの小規模な配布方法では、App Store のセキュリティ審査は不要ですが、公開 Web リンクで共有される TestFlight アプリケーションには、App Store によるコードビルドの初期審査が必要です。

残念なことに、Apple がサポートする他の代替アプリ配布方式と同様、「TestFlight Signature」も代替 iOS アプリ配布用のホストサービスとして利用できるため、マルウェアの作成者によって簡単に悪用されます。これらのサードパーティのサービスは、CryptoRom の作者にも広範に悪用されています。

モバイルアプリの開発者向けに「TestFlight Signature」サービスを提供する Web サイトの画面イメージ

TestFlight Signature に必要なものはコンパイル済みのアプリが含まれた IPA ファイルのみであるため、他の方式に比べて安価に利用できます。アプリの配布は他者に委ねられるので、(もしも) マルウェアが発見されてフラグが立てられても、マルウェア開発者は次のサービスで同じことを繰り返せば良いのです。

TestFlight Signature は Super Signature や Enterprise Signature よりも悪意のあるアプリ開発者に好まれる場合が多くあります。これら 2 つのサービスよりも少し安く、Apple Test Flight App を通じた配布は正規のアプリに見えやすいためです。また、審査も App Store のものより緩いされています

ソフォスに連絡を取った被害者の中には、日本の暗号通貨取引所のアプリである BTCBOX に扮したアプリをインストールするように指示されたと報告する人もいました。また、暗号通貨マイニングファームである BitFure を装った偽サイトが、Test Flight を通じて偽アプリを売り込んでいることも確認されました。ソフォスでは、同じ手法を用いた他の CryptoRom アプリの収集を続けています。

Android 用および iOS 用の両方のアプリが、不正な Web サイトを通じて配信されていました。iOS 用の偽アプリは TestFlight を用いて被害者の端末に配布されており、以下のスクリーンショットは被害者から提供されたリンクを用いて撮影したものです。

BTCBOX は偽の Web サイトについて警告し、正しいドメインを確認するようにユーザーに求めています。

 

アイコンやサイト名だけを変えて iOS WebClip を悪用

このような偽アプリに遭遇したことを報告した iPhone ユーザーの大半は、上記とは別の、App Store を回避して配布を行う手法にも誘導されていました。彼らは iOS WebClips を生成する URL を送りつけられていたのです。WebClip は、モバイルデバイス管理用のペイロードで、iOS デバイスのホーム画面に直接 Web ページへのリンクを追加するものです。追加されたリンクは、iOS に不慣れなユーザーには通常のアプリケーションのように見えます。

CryptoRom の URL を調査していたところ、そっくりなテンプレートを使い、名前やアイコンを変えただけで App Store そっくりのページを複数ホストしている関連 IP を発見しました。配布されている「アプリ」の中には、人気の投資アプリ Robinhood を模した、「RobinHand」と名付けられたアプリもありました。このアプリのロゴは Robinhood のものと類似しています。

これらの偽サイトはすべて、App Store を模したページにリンクされていました。それだけでなく、サイト名やアイコンは異なるものの、そっくりな中身や機能を持ち、そっくりなテンプレートを使った Web サイトにもリンクされていました。おそらく、サイトがブロックされたり発覚したときに、別の偽サイトに移行するために使われるものでしょう。この仕組みは、人気サイトを模倣し、被害者から何千ドルもの大金を吸い上げることが、いかに安くて簡単であるかを示しています。

以下の画像は、有名な暗号通貨取引および交換プラットフォームを模倣し、アイコン、URL、およびサイト名のみを変更した Web テンプレートが使用されているのを示しています。

Android 用の偽アプリ

上記のような偽アプリの Android 版については、簡単で手間のかからないアプリ開発ツールを使用する傾向が続いています。ソフォスが確認した、CryptoRom に関連する Android アプリケーションのほとんどは、基本的に最小限のコードでラップされた Web アプリケーションでした。 アプリが接続する URL はさまざまです。

以下の画像は、CryptoRom の URL を含むアプリの設定ファイルです。この例においては、アプリは Apache Cordova を用いて開発されています。

信頼を得て、生活を破壊

最初に本件を記事にして以来、世界中の CryptoRom 詐欺の被害者から連絡が集まっています。多くの方が詐欺の詳細について教えてくれたおかげで、個別の事例やその他の脅威のデータを収集することができました。また、ほとんどの方が、今回の詐欺によって数千ドルもの個人的な貯蓄を失ったと報告していますが、中には以前の記事を読み、深入りしすぎる前に詐欺であることを認識した人もいました。しかし中には、貯蓄をすべて失ったり、お金が戻ってくると思って借金をしたりした人さえいます。

こんにちは、突然のメッセージで失礼します。私は shopos (原文ママ) ニュースであなたが cryptoroom (原文ママ) の偽者 [のアプリ] について書いた記事を読みました。
私はこの偽の暗号通貨アプリの被害者の一人で、20,000 ドル以上の金額を失いました。容疑者が私に送ってきたこのアプリケーションについてお伺いしたいのですが、これは偽アプリでしょうか。


こんにちは、偽の暗号通貨アプリの記事のコメント欄であなたの連絡先を見つけました。私の友人の 1 人が 'UBS global' + binance という名前の、記事にされていたものと類似したアプリを使っています。このアプリは暗号通貨の取引を提供しています。私の友人が口座から出金しようとしたところ、6000 ドルの有料会員になることを要求されました。このアプリは合法なものでしょうか。
 

私はある偽の取引アプリに投資してしまいました。私は 10 万投資しましたが、私の兄弟と友人たちは 100 万以上もの巨額を投資しています…… 純真な人々からお金を盗み取ろうとしているのです。


以前の記事でもお伝えしてきたように、この種の詐欺は、標的と直接会うことなく、さまざまなアプローチで関係を構築していくものです。以前の記事では、詐欺師が出会い系サイトや出会い系アプリケーション、その他のソーシャルネットワークプラットフォームを利用して、新たな被害者を探していることを報告しました。しかし、いくつかの例では、一見無作為に送られている WhatsApp のメッセージを通じて投資や取引に受信者を誘い込み、CryptoRom サイトの URL のリンクにアクセスさせることを詐欺の端緒としています。多くの場合、これらのメッセージでは巨額の金銭的報酬が約束されていました。詐欺師は標的のソーシャルメディアのアカウントや、侵害した Web サイトを通じて被害者の連絡先情報を入手したと考えられています。また、一般に公開されている情報を参照し、すでに投資や暗号通貨に興味を持っている人を標的にしているようです。

偽アプリは人気アプリに似せて作られているため、被害者は通常のモバイルバンキングアプリケーションのように、正規の企業と取引しているとしばしば思い込まされます。しかし、オンラインでのやり取りを見るに、これらの詐欺の核心は、詐欺師が被害者に「利益」を得させた後、最初は偽口座からの出金を認めることにあるようです。被害者は、古典的なねずみ講と同じように、信頼を得るために初期投資を引き出すことを許されます。しかしその後、偽の恋愛相手や「友人」が、より大きな事業のためにさらに投資を行うように被害者に促します。より魅力的な事業に見せかけ、被害者から引き出す投資額を増やすため、巨額の資金を「貸す」とまで言い出します。詐欺師はアプリのバックエンドを制御しているため、口座に偽の預金を投入し、自由に架空の利益を生み出すことができるのです。たとえば、以下の画像では総資産が 400 万ドル以上にもなっています。

詐欺師はアプリのバックエンドを制御しているため、アプリの表示金額を人為的に増やしたり、減らしたりして詐欺に利用しています。このことも、被害者に儲かっていると思い込ませるための重要な要素であるようです。状況に応じて入金額や利益を増やしたり減らしたりして、より多くの信頼を被害者から得ます。

「偽の貸付」を利用して 1 円でも多く騙し取る手法

この詐欺は、被害者を騙して投資させるだけには留まりません。 被害者が彼らの「利益」を引き出そうとすると、詐欺師はアプリを通じて、引き出す前に利益の 20% 相当の「税金」を支払う必要があることを伝えます。支払わなければ投資した資金はすべて税務当局に没収される、と被害者を脅す例も報告されています。

「こんにちは、私はある友人に誘われてこのアプリを使い始めました。このアプリは取引アプリですが、本物かどうかがわかりません。[なぜなら] 税金を支払わないと出金が許可されないにも関わらず、現在口座に存在するお金から税金を支払うことが認められないからです。税金の支払いのために再度多額のお金を入金しなければなりません。」

「こんにちは、取引アプリや暗号通貨アプリに見せかけた偽の iOS アプリに関する Sophos News の記事で、あなたの連絡先を見つけました。私はロマンス詐欺の被害者で、記事には現在私に起こっていることが正確に書かれていました。残念なことに、私はすでに偽の取引アプリに大金を預けています。何度か取引に成功して大きな利益を得ましたが、利益の 20% という莫大な額の税金を支払うまで口座が凍結されてしまいました。」

「私は退職金と借金すべて、合わせて 1,004,000 ドルほどを投資しました。まさか口座を凍結され、利益総額の 20% にも上る 625,000 ドルを支払わなければならないとは思いもしませんでした。」
アプリ内の「カスタマーサービス」チャットで、出金前に税金を支払う必要があることを「カスタマー」に伝える画面のスクリーンショット

被害者が自前の資金を使い果たし、「税金」を納めるための資金がない場合でも、詐欺師は被害者から最後の 1 円まで搾取し続けます。以下のスクリーンショットは翻訳されたものですが、偽の恋愛相手が被害者に貸した資金が凍結され、その分の税金も被害者が支払う必要があると伝えています。偽の恋愛相手が税金の支払いに必要な金額の一部 (最大 300,000 ドルほど) を貸し出すので、お金を取り戻すために被害者が残りの金額を調達しなければならない、とされています。資金を貸す素振りを見せることによって被害者に偽りの支援をすると同時に、被害者がさらに詐欺師にお金を支払うように誘導しています。


CryptoRom の被害者を狙ったリカバリー詐欺

CryptoRom の被害者は、お金を騙し取られたことに気づいた後、しばしば取り戻すのに躍起になります。しかし、暗号通貨の性質や、国を跨いだ取引が絡んでくることを考えると、法執行機関やその他の正当な方法を通じて失った資金を回収するのは極めて困難です。この絶望的な状況を悪用して、CryptoRom の被害者を特に狙った偽の暗号通貨回収サービスが数多く出現しています。メーリングリストやソーシャルメディアにおいて、これらのサービスを提供していると宣伝する文章が多く確認されています。多くのメッセージには不自然な点や文法上の誤りが含まれていました。これらのサービスの大半は偽物であり、どのサービスも被害者のお金を取り戻すことができる可能性は極めて低くなっています。

最良の方法は、地域や国の法執行機関に連絡し、支援を求めることです。

結論

CryptoRom 詐欺は、ソーシャルエンジニアリング、暗号通貨取引、および偽のアプリケーションを組み合わせることで拡大し続けています。この種の詐欺は高度に組織化されており、ユーザーの立場、興味、技術力の程度に基づいて脆弱なユーザーを特定し、搾取することに長けています。詐欺に引き込まれた人は、何万ドルものお金を失っています。

SophosLabs は、CryptoRom 関連の Web サイトとアプリをすべて Apple と Google に報告しましたが、こうした詐欺を防ぐための唯一の長期的な対策は、集団的な対応を取ることです。銀行や金融機関は、暗号通貨の取引を追跡可能にする必要があります。ソーシャルメディア企業は、こうした詐欺についてユーザーに警告し、その手順を見抜いて、詐欺の元になっている悪意のあるアカウントを削除する必要があります。最後に、Apple と Google は、新たにインストールされた「サイドロード」アプリが公式なソースからのものではないことをユーザーに警告する必要があります。

この種の詐欺を経験された方、または CryptoRom 詐欺に関連するアプリケーションや URL を報告したい方は、この投稿にコメントするか、Twitter で @jag_chandra に連絡してください。今回分析したアプリのセキュリティ侵害の痕跡 (IoC) の全リストは、SophosLabs の Github で公開されています。

SophosLabs は、本記事への貢献に対して、Xinran Wu 氏に謝意を表します。