I ricercatori della sicurezza hanno scoperto centinaia di app Android e iOS dannose che pongono app legittime di criptovaluta, banche e finanziarie. Grazie alle tecniche di ingegneria sociale, i truffatori hanno indotto le vittime a installare app per rubare denaro e credenziali.
I cattivi attori si iscriverebbero a incontri e altre app di incontro e farebbero amicizia con una persona per iniziare. I truffatori sposterebbero la conversazione sulle app di messaggistica per impedire che l’app di appuntamenti prenda piede e si blocchi. E, naturalmente, la pandemia di Covid-19 ha fornito la scusa perfetta per non incontrarsi mai di persona.
Dopo aver stabilito una relazione e una fiducia, la vera truffa è iniziata con promesse di guadagno finanziario attraverso criptovalute o app di investimento. Fedeli alle tattiche di truffa, i ladri promettono guadagni garantiti o hanno instillato FOMO sostenendo che l’opportunità scomparirebbe rapidamente.
La vittima creerebbe un account) e consegnerebbe denaro. È solo quando la vittima ha cercato di prelevare o trasferire denaro che avrebbe scoperto la verità, poiché il cattivo attore l’avrebbe bloccata fuori dal conto a quel punto e sarebbe scappata con i contanti. E in alcuni casi, creando un clone di un’app bancaria legittima, il truffatore ha indotto la vittima a fornire i dettagli dell’account reale.
Per installare l’app, gli hacker utilizzano una varietà di trucchi. Su Android, il truffatore indicherebbe la vittima verso una pagina web progettata per assomigliare a una criptovaluta o a un sito bancario. La pagina ospita un collegamento per il download che sembra aprire il Google Play Store ma invece installa un’app Web. Ciò aggira sia i controlli del Google Play Store che la necessità di abilitare le impostazioni del negozio di terze parti.
L’installazione delle app Apple a volte seguiva lo stesso metodo. Ma in altri, i truffatori si affidavano a un processo "Super Signature" per aggirare la sicurezza e l’app store di Apple. In genere ti imbattevi in app Super Signature in uno scenario di test o per l’implementazione aziendale. Il processo essenzialmente rende la vittima un account sviluppatore simile a come Facebook una volta ha installato le app dei sondaggi senza l’approvazione di Apple.
I truffatori sono arrivati addirittura a fornire assistenza ai clienti, sia sui siti destinati a installare l’app dannosa che nell’app stessa. I ricercatori della sicurezza si sono persino presi del tempo per chattare con il "team di supporto" per apprendere maggiori dettagli su dove sono finiti i soldi (Hong Kong) e come ha funzionato il processo.
Per la maggior parte, i ricercatori di Sophos affermano che queste istanze prendono di mira le vittime asiatiche, ma ciò non significa che l’idea non si recherà altrove. Per la massima sicurezza, vai sempre direttamente al Play Store o all’Apple App Store per scaricare le app. E se qualcuno promette "soldi garantiti", forse indietreggia. Poche cose, in particolare la criptovaluta e le finanze, sono così certe nella vita.