Хакер #305. Многошаговые SQL-инъекции
Мошенники, специализирующиеся на фальшивых инвестициях в якобы перспективные криптовалютные проекты, акции, облигации, фьючерсы и опционы, были обнаружены в магазинах приложений Apple и Google. Такие атаки называют «забоем свиней», и против своих жертв («свиней») скамеры используют социальную инженерию, находя с ними контакт в социальных сетях и приложениях для знакомств.
«Забой свиней» (Pig Butchering) — это сравнительно новое явление. К примеру, ФБР впервые предостерегло пользователей от такого мошенничества осенью прошлого года. Тогда правоохранители объясняли, что это очень прибыльная схема, используемая скамерами по всему миру.
Правоохранители писали, что мошенники используют социальную инженерию и выходят на контакт с людьми («свиньями») в социальных сетях и приложениях для знакомств. Со временем преступники завоевывают доверие своих жертв, имитируя дружбу или романтический интерес, а порой даже выдавая себя за настоящих друзей цели.
Когда «контакт» установлен, преступники в какой-то момент предлагают жертве инвестировать в криптовалюту, для чего цель направляют на фальшивый сайт. Увы, вернуть свои средства и получить фейковые «доходы» с такого ресурса будет невозможно.
Подобное мошенничество может длиться месяцами, и жертва порой отдает мошенникам огромные суммы (от тысяч до миллионов долларов), прежде чем понимает, что ее обманули. К примеру, прошлой осенью издание Forbes сообщало о 52-летнем мужчине из Сан-Франциско, который потерял около миллиона долларов из-за «забоя свиней». В этом случае мошенники выдавали себя за старого коллегу пострадавшего.
Как пишут эксперты из компании Sophos, «забой свиней» уже проник и в официальные магазины приложений. Теперь мошенники нацеливаются на жертв в Facebook* или Tinder, используя фальшивые профили женщин с украденными из других учетных записей фотографиями. При этом фальшивые профили демонстрируют нарочито роскошный образ жизни с фотографиями из элитных ресторанов, дорогих магазинов и экзотических мест.
Завоевав доверие жертвы, мошенники сообщают, что у них есть дядя, работающий в фирме, занимающейся финансовым анализом, которая сейчас как раз запускает в Play Store или App Store приложение, позволяющее торговать криптовалютой. То есть в итоге жертву убеждают не перейти на фейковый сайт, а загрузить специальное приложение и «инвестировать» в несуществующие активы, выдаваемые за настоящие.
Вредоносные приложения, которые обнаружили аналитики, назывались Ace Pro и MBM_BitScan в Apple App Store и BitScan в Google Play Store. В настоящее время все они уже удалены.
После запуска приложения жертва видит весьма убедительный интерфейс для торговли криптовалютой, однако все кроме депозита пользователя здесь является подделкой.
Отмечается, что сначала, чтобы усыпить бдительность цели, мошенники позволяют жертвам выводить небольшие суммы в криптовалюте со своих счетов, но затем, когда денег уже становится много, блокируют счета и забирают все.
Для обхода проверок безопасности в App Store операторы ShaZhuPan отправляют в магазин приложение, подписанное действительным сертификатом. Пока не получено одобрение, такое приложение подключается к обычному серверу и прикидывается абсолютно безобидным. После прохождения проверки разработчики меняют домен, и приложение уже подключается к вредоносному серверу.
По словам экспертов, приложения BitScan для Android и iOS якобы были представлены разными поставщиками, но взаимодействовали с одним и тем же управляющим сервером, который размещался в домене, маскирующимся под bitFlyer (настоящую компанию по обмену криптовалюты из Японии).
Sophos сообщает, что за одной из таких кампаний стоит китайская группировка ShaZhuPan, разделенная на отдельные команды, каждая из которых занимается чем-то одним: взаимодействием с жертвами, финансами, франшизой или отмыванием денег.
Исследователи резюмируют, что поскольку такие приложения загружаются небольшим числом пользователей, вручную отобранных мошенниками, массовых жалоб на них не поступает, что затрудняет их обнаружение и удаление из магазинов. Также в Sophos отмечают, что с появлением финтеха в нашей жизни, доверие людей к подобным программным инструментам возросло, а когда приложения взяты из официальных магазинов Apple и Google, у жертв и вовсе возникает ложное ощущение легитимности.
* Запрещена в России. Принадлежит Meta Platforms, деятельность этой организации признана экстремисткой и запрещена на территории РФ.