Những cách thức qua mặt hệ thống kiểm soát ứng dụng của Apple để đánh lừa người dùng

Mặc dù không phải theo mặc định, người dùng có thể cài đặt ứng dụng bên ngoài cửa hàng Google Play thông qua một thiết lập đặc biệt. Nhưng trên iPhone, điều đó thực sự là không thể. Trừ khi jailbreak (bẻ khóa) điện thoại của bạn (điều không nên làm), người dùng sẽ phải chỉ sử dụng App Store, nguồn duy nhất của iPhone và ứng dụng iPad. Tuy nhiên, như SophosLabs đã báo cáo vào năm ngoái, tội phạm mạng vẫn có thể lôi kéo người dùng iPhone vào các trò gian lận ứng dụng cryptocoin của họ bằng cách sử dụng Enterprise Provisions. Đó là một tính năng dành cho doanh nghiệp của iPhone cho phép các ứng dụng riêng tư, trong nhà do một công ty phát triển để sử dụng riêng được triển khai trực tiếp đến các thiết bị của công ty. Kiểu lừa đảo đó được công ty bảo mật Sophos đặt tên là CryptoRom, đã được theo dõi từ đầu năm 2021.

Phong cách gian lận mạng này, được gọi là sha zhu pan — nghĩa là “đĩa thịt lợn” —là một hoạt động lừa đảo được tổ chức tốt, sử dụng sự kết hợp của thủ đoạn lừa đảo phi kỹ thuật thường lấy sự lãng mạn làm trung tâm và các ứng dụng tài chính và trang web gian lận để gài bẫy, đánh cắp tiền tiết kiệm của nạn nhân sau khi có được lòng tin của họ. Mặc dù trò lừa đảo ban đầu tập trung vào các nạn nhân châu Á , vào tháng 10 năm 2021, công ty Sophos đã ghi nhận sự mở rộng toàn cầu của nó.

Mối đe dọa này vẫn đang hoạt động rất tích cực và tiếp tục tác động đến các nạn nhân trên khắp thế giới, trong một số trường hợp, họ phải trả giá bằng cả mạng sống. Kể từ báo cáo của Sophos vào tháng 10/2021, một số nạn nhân đã liên hệ để báo cáo các ứng dụng và trang web CryptoRom mới. Trong bài đăng hồi tháng 3, Sophos nêu bật các trang web và ứng dụng di động giả mạo bổ sung đó, cũng như các thủ đoạn lừa đảo phi kỹ thuật được sử dụng bởi những kẻ khai thác phần mềm độc hại — và một kiểu lạm dụng kênh phân phối phần mềm khác của Apple iOS để vượt qua kiểm tra bảo mật của App Store.

Lạm dụng iOS TestFlight

Trước tiên, hãy xem xét vector lạm dụng mới. Năm 2021, Sophos đã phát hiện thấy các ứng dụng lừa đảo của CryptoRom dành cho thiết bị iOS khai thác kế hoạch phân phối ứng dụng “Super Signature” của Apple (một phương pháp phân phối đặc biệt hạn chế, sử dụng tài khoản nhà phát triển) và lạm dụng kế hoạch triển khai ứng dụng doanh nghiệp của Apple. Hiện tại, tội phạm lại đang lạm dụng kênh phân phối ứng dụng thử nghiệm TestFlight của Apple.

TestFlight được sử dụng để kiểm tra phiên bản "beta" của ứng dụng trước khi chúng được gửi đến App store để phân phối. Apple hỗ trợ sử dụng phân phối ứng dụng TestFlight theo hai cách: cho các thử nghiệm ứng dụng nội bộ nhỏ hơn được gửi bởi tối đa 100 người dùng bằng thư mời qua email và các thử nghiệm beta công khai lớn hơn hỗ trợ tối đa 10.000 người dùng. Phương pháp phân phối dựa trên email nhỏ hơn không yêu cầu đánh giá bảo mật của App Store, trong khi các ứng dụng TestFlight được chia sẻ bởi các liên kết web công khai yêu cầu đánh giá ban đầu của App Store.

Thật không may, giống như những gì đã thấy xảy ra với các kế hoạch phân phối ứng dụng thay thế khác do Apple hỗ trợ, “TestFlight Signature” có sẵn dưới dạng dịch vụ của bên thứ ba cung cấp trên Internet để triển khai ứng dụng iOS thay thế, khiến mọi thứ trở nên quá đơn giản để các tác giả phần mềm độc hại lạm dụng. Các dịch vụ của bên thứ ba này bị lạm dụng rộng rãi bởi các CryptoRom.

Ảnh chụp màn hình trang web cung cấp dịch vụ “TestFlight Signature” cho các nhà phát triển

Sử dụng TF Signature rẻ hơn so với các chương trình khác vì tất cả những gì bạn cần là một tệp IPA với một ứng dụng đã biên dịch. Việc phân phối do người khác xử lý và khi / nếu phần mềm độc hại bị phát hiện, nhà phát triển phần mềm độc hại chỉ có thể chuyển sang dịch vụ tiếp theo và bắt đầu lại.

TF Signature được các nhà phát triển ứng dụng độc hại ưa thích trong một số trường hợp hơn Super Signature hoặc Enterprise Signature vì nó rẻ hơn một chút và trông hợp pháp hơn khi được phân phối với Apple Test Flight App. Quá trình xem xét cũng được cho là ít nghiêm ngặt hơn so với đánh giá trên App Store.

Với những lời lẽ thuyết phục rằng ứng dụng của chúng là bản giới hạn, chỉ những người được mời mới được phép tham gia và lợi dụng việc ứng dụng đã đăng ký tham gia chương trình TestFlight với Apple để khiến nạn nhân tin rằng ứng dụng đã được Apple thẩm định, bọn tội phạm đã khiến rất nhiều người mắc lừa.

iOS WebClips

Nhiều người dùng iPhone lại bị thu hút bằng một cách tiếp cận khác để vượt qua App Store: họ được kẻ xấu gửi cho các URL phục vụ các WebClips iOS. WebClips là một tính năng cho phép thêm liên kết đến một trang web trực tiếp vào màn hình chính của thiết bị iOS, làm cho nó trông giống như một ứng dụng thông thường đối với những người dùng ít hiểu biết.

Trong khi điều tra một trong các URL của CryptoRom, Sophos đã tìm thấy các IP có liên quan đang lưu trữ các trang giống App store với mẫu tương tự, nhưng có các tên và biểu tượng khác nhau. Các “ứng dụng” bao gồm một ứng dụng bắt chước ứng dụng giao dịch phổ biến của Robinhood, được gọi là ‘RobinHand’. Logo của nó tương tự như của Robinhood.

Ngoài ra, tất cả các trang giả mạo này cũng có các trang web được liên kết với các mẫu tương tự để thuyết phục người dùng — các nhãn hiệu và biểu tượng khác nhau, nhưng nội dung và cấu trúc web tương tự. Điều này giúp chúng chuyển từ thương hiệu này sang thương hiệu khác khi bị chặn hoặc bị phát hiện.

Những thủ đoạn lừa đảo mới như CryptoRom rất đáng được quan tâm để cảnh báo người dùng. Tuy nhiên, họ cần được lưu ý về thủ đoạn lợi dụng Super Signature, TestFlight hay WebClips – những tính năng thường chỉ nhóm phát triển biết tới – chứ không phải một vài ứng dụng lừa đảo cụ thể như RobinHand. Nếu không được cập nhật, các tài liệu hướng dẫn sử dụng điện thoại và giao dịch an toàn sẽ bị lạc hậu, khiến người dùng dễ bị mắc bẫy kẻ xấu.

(Theo Sophos)