Un jeu qui vaut des millions : les fraudeurs de CryptoRom ruinent les utilisateurs sans méfiance avec une ingénierie sociale sophistiquée. L'utilisation abusive d'iOS TestFlight et de WebClips en combinaison avec l'ingénierie sociale et de faux sites Web conduit de nombreuses victimes à la ruine.
Sophos a un nouveau rapport « CryptoRom Swindlers Continue pour cibler les utilisateurs vulnérables d'iPhone/Android » à propos de l'arnaque à la crypto-monnaie CryptoRom, répandue à l'échelle internationale. Cette arnaque cible les utilisateurs d’iPhone et d’Android utilisant des applications de rencontres populaires comme Bumble et Tinder. Comme le montre le rapport, les comptes des victimes ont été gelés dès qu'elles tentaient de retirer leurs investissements de la fausse plateforme. En outre, il leur était parfois demandé des centaines de milliers d’euros de soi-disant « taxes » afin de retrouver l’accès.
L'arnaque des rencontres
Les contacts de rencontres recommandent de faux investissements avec des profits élevés.
Dans un cas, une victime a été facturée 625.000 570.000 $ pour retrouver l'accès au million de dollars qu'elle avait investi dans un faux modèle de trading crypto. Cet « investissement » a été recommandé à la victime par une personne rencontrée sur une plateforme de rencontres en ligne. Le contact amoureux a ensuite affirmé avoir investi une partie de son propre argent pour porter la participation conjointe à 1 millions de dollars. Les escrocs ont alors déclaré qu'il y avait un profit de 4 millions de dollars sur l'investissement et qu'un impôt sur les bénéfices de 3,13 % (20 625 $) était dû. Cette taxe est nécessaire pour pouvoir accéder à nouveau au compte et retirer l'argent. En réalité, ni le co-investissement ni les bénéfices n'étaient réels, et "l'ami" en ligne faisait partie de l'arnaque.
Conseils d'investissement via le chat de rencontres
« Il est extrêmement inquiétant que des personnes continuent de tomber dans le piège de ces stratagèmes criminels, d'autant plus que l'utilisation de transactions transfrontalières et de marchés de crypto-monnaie non réglementés signifie que les victimes manquent de protection juridique pour les fonds qu'elles investissent », a déclaré Jagadeesh Chandraiah, expert en sécurité chez SophosLabs. "C'est un problème qui va rester. Nous avons besoin d'une traçabilité des transactions de crypto-monnaie, d'un avertissement plus agressif des utilisateurs au sujet de ces escroqueries, et d'une détection et d'une suppression rapides des faux profils qui permettent ces escroqueries.
Connu sous le nom de "sha zhu pan" - littéralement plateau de porc - ce type de cyberarnaque est bien organisé et utilise une combinaison d'ingénierie sociale et d'applications et de sites Web financiers trompeurs. Les victimes sont prises au piège pour voler leurs économies. Initialement, ces escroqueries étaient concentrées en Asie, mais depuis octobre 2021, Sophos a enregistré une propagation mondiale.
Abus d'Apple iOS TestFlight et iOS WebClips
Les applications Android et iOS ont été distribuées via un site Web trompeur. La version iOS de la fausse application a utilisé TestFlight pour la déployer sur les appareils des victimes (Image : Sophos).
Le rapport Sophos met en évidence certaines des fausses applications mobiles et sites Web, ainsi que les techniques d'ingénierie sociale utilisées par les opérateurs de logiciels malveillants qui contournent le contrôle de sécurité Apple iOS App Store pour distribuer le logiciel malveillant.
Sophos a précédemment découvert que les applications malveillantes de CryptoRom pour les appareils iOS abusaient du schéma de distribution "Super Signature" d'Apple et du schéma de livraison des applications d'entreprise d'Apple. Maintenant, les experts observent également qu'Apple TestFlight est de plus en plus utilisé pour des activités criminelles.
L'absence d'habilitation de sécurité facilite les choses
TestFlight est utilisé pour des tests bêta limités d'applications avant leur déploiement sur l'App Store. La distribution par e-mail ne nécessite pas d'examen de sécurité par l'App Store, tandis que les applications TestFlight distribuées via des liens Web publics nécessitent un examen initial du code par l'App Store. "Malheureusement, 'TestFlight Signature', comme d'autres systèmes de distribution d'applications pris en charge par Apple, est disponible en tant que service hébergé pour la livraison alternative d'applications iOS. Cela permet aux auteurs de logiciels malveillants d'en abuser facilement, même avec CryptoRom », déclare Chandraiah.
De nombreux utilisateurs d'iPhone à qui Sophos a parlé et qui ont rencontré les applications malveillantes ont été piégés dans une autre méthode de contournement de l'App Store : ils ont reçu des URL servant des WebClips iOS. Les WebClips sont des données de gestion d'appareils mobiles qui insèrent un lien vers une page Web directement dans l'écran d'accueil de l'appareil iOS, ce qui en fait une application typique pour les utilisateurs moins avertis. En examinant l'une des URL CryptoRom, Sophos a trouvé des adresses IP associées hébergeant des pages de type app store mais avec des noms et des icônes différents. Les "applications" en comprenaient une qui imite l'application populaire Robinhood sous le nom de "RobinHand". Le logo est similaire à celui de Robinhood.
Approche délicate
Les cyber-gangsters utilisent diverses méthodes pour établir une relation avec leurs cibles sans jamais les rencontrer en personne. Les sites Web et les applications de rencontres, ainsi que d'autres plateformes de réseaux sociaux, sont largement utilisés pour trouver de nouvelles victimes. Dans certains cas, des messages WhatsApp apparemment aléatoires ont également été lancés dans lesquels des escrocs offraient aux destinataires des conseils d'investissement et de trading, y compris des liens vers des sites Web CryptoRom. Souvent, ces messages contenaient des promesses de gains financiers importants. On soupçonne que les criminels obtiennent les coordonnées de leurs cibles soit à partir de leurs propres comptes de médias sociaux, soit à partir de sites Web compromis.
Les escroqueries CryptoRom continuent de prospérer
Les escroqueries CryptoRom prospèrent grâce à une combinaison d'ingénierie sociale, de crypto-monnaie et de fausses applications. Les criminels sont bien organisés et capables d'identifier et d'exploiter les victimes en fonction de leur situation, de leurs intérêts et de leurs compétences techniques.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.