🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND thị trấn Quốc Oai, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Sài Sơn, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Phượng Cách, Hà Nội đã đăng ký tín nhiệm. 🔥                   

Truy tìm ổ nhóm lừa đảo lợi dụng tình cảm để chiếm đoạt tài sản phần 3: Ứng dụng giả mạo

Hãy chia sẻ câu chuyện của bạn với chúng tôi bằng cách nhắn tin đến fanpage Tín nhiệm mạng hoặc gửi email đến địa chỉ [email protected] để câu chuyện của bạn cảnh báo đến nhiều người hơn.

03/06/2021

Xin chào các bạn, đây là bài viết tiếp theo trong loạt bài viết Truy tìm ổ nhóm lừa đảo lợi dụng tình cảm để chiếm đoạt tài sản, nếu các bạn chưa đọc những phần trước, các bạn có thể đọc trong các đường dẫn dưới đây:

Truy tìm ổ nhóm lừa đảo lợi dụng tình cảm để chiếm đoạt tài sản phần 1: Kẻ đi săn

Truy tìm ổ nhóm lừa đảo lợi dụng tình cảm để chiếm đoạt tài sản phần 2: Các mối liên kết

Trong phần này, chúng ta sẽ đi sâu hơn vào ứng dụng giả mạo mà những đối tượng đang cầm đầu đường dây này đang dụ người dùng tải về, thật may mắn, gần đây Sophos đã có một bài phân tích kỹ thuật, cảnh báo về những ứng dụng này, do vậy phần này của Cyber Space sẽ dựa trên nghiên cứu đã có sẵn từ Sophos, các bạn có thể truy cập bài nghiên cứu của Sophos tại đường dẫn sau:

https://news.sophos.com/en-us/2021/05/12/fake-android-and-ios-apps-disguise-as-trading-and-cryptocurrency-apps/

Theo Sophos, tội phạm mạng đang triển khai hàng loạt ứng dụng tài chính, ngân hàng, tiền mã hóa giả mạo để đánh cắp tiền của bạn.

Gần đây, các nhà nghiên cứu từ Sophos đã lật tẩy một ứng dụng di động giả mạo một công ty giao dịch phổ biến tại Châu Á. Trong quá trình điều tra, họ đã khám phá ra nhiều phiên bản giả mạo của các ứng dụng giao dịch tiền ảo, giao dịch chứng khoán và các ứng dụng ngân hàng trên cả hai nền tảng iOS và Android, tất cả các ứng dụng giả mạo này được thiết kế để đánh cắp từ những kẻ bị lừa sử dụng chúng.

Các ứng dụng giả mạo này có mục đích khai thác sự quan tâm đang gia tăng vào các ứng dụng giao dịch, được vun đắp bởi sự tăng trưởng ấn tượng trong giá trí của các đồng tiền mã hóa và mối quan tâm vào những nền tảng giao dịch miễn phí giống như câu chuyện về GameStop.

Trong nhiều trường hợp, kế hoạch phát tán các ứng dụng đó lợi dụng kỹ thuật xã hội thông qua các trang web hẹn hò để lôi kéo nạn nhân, và các trang web được thiết kế để trông giống như những trang thuộc về các công ty hợp pháp. Các trang web đó điều hướng nạn nhân đến các trang khác phát tán các ứng dụng di động trên nền tảng iOS thông qua cơ chế quản lý cấu hình, các mã thực thi quản lý thiết bị di động iOS có kèm cả “Web Clips”, hoặc phát tán các ứng dụng Android phụ thuộc vào thiết bị được sử dụng.

Trong quá trình điều tra về một trong những ứng dụng đó, Sophos đã bắt gặp một máy chủ lưu trữ hàng trăm ứng dụng giả mạo các nền tảng giao dịch, ngân hàng, giao dịch ngoại hối và tiền ảo. Trong số đó là các ứng dụng mạo danh các hãng tài chính lớn và các nền tảng giao dịch tiền mã hóa, bao gồm Barclays, Gemini, Bitwala, Kraken, Binance, BitcoinHK, Bittrex, BitFlyer, và TDBank. Từng ứng dụng giả mạo đó đều có một trang web riêng thiết kể để mạo danh thương hiệu để dễ dàng lừa đảo những nạn nhân có tiềm năng.

Thu thập nạn nhân

Nghiên cứu của Sophos bắt đầu khi họ nhận được yêu cầu điều tra về một ứng dụng bởi một người dùng trở thành nạn nhân của vụ lừa đảo. Theo nạn nhân, liên hệ đầu tiên với kẻ lừa đảo đứng sau ứng dụng đó đến từ các trang mạng xã hội và trang web hẹn hò.

Những kẻ lừa đảo kết bạn với nạn nhân, và chuyển hình thức liên lạc qua một ứng dụng gửi tin nhắn. Chúng né tránh các yêu cầu gặp mặt trực tiếp, nhấn mạnh vào lý do là do đại dịch COVID-19.  Sau khi có được niềm tin, chúng sau đó thuyết phục nạn nhân tải về một ứng dụng giao dịch tiền mã hóa, gửi cho nạn nhân một đường dẫn.

Đường dẫn dẫn đến một trang web giả mạo một công ty giao dịch và đầu tư có trụ sở tại Hong Kong tên là Goldenway Group. Trang web có các tùy chọn để tải về các ứng dụng dành cho iOS và Android.

Những kẻ lừa đảo đã hướng dẫn nạn nhân quá trình cài đặt và đã khuyến khích nạn nhân mua tiền ảo và chuyển tiền đến ví của chúng. Khi nạn nhân yêu cầu rút tiền ảo, kẻ lừa đào đứng sau danh tính giả mạo đầu tiên lý do lý trấu, và cuối cùng thì chặn hẳn tài khoản của nạn nhân.

Trong khi Sophos điều tra ứng dụng Goldenway giả mạo, họ đã phát hiện ra chiêu trò này được áp dụng rộng hơn rất nhiều. Họ đã phát hiện hàng trăm ứng dụng giao dịch giả mạo được đẩy lên qua cùng một hạ tầng, mỗi ứng dụng được giả mạo để trông giống với các ứng dụng giao dịch chính thức hoặc các tổ chức tài chính khác nhau.

Counterfeit trading apps’ icons, compared to the icons for real versions of those apps.

Một trang web giả mạo Sàn giao dịch tài sản số

Qua mặt chợ ứng dụng iOS

Chợ ứng dụng iOS của Apple và các chương trình chợ ứng dụng riêng dành cho doanh nghiệp thường xuyên giám sát các ứng dụng và thu hồi tài khoản phát triển của những nhà phát triển ứng dụng giả mạo – loại trừ các ứng dụng độc hại hoặc giả mạo được triển khai với chữ kỹ số của tài khoản đó. Để tránh bị phát hiện, các ứng dụng độc hại mà Sophos điều tra sử dụng các dịch vụ bên thứ ba để triển khai quy trình được biết đến với tên gọi Super Signature.

Một vài dịch vụ, ví dụ như Dandelion (pgyer[.]com), có mục đích để hỗ trợ các nhà phát triển ứng dụng nhỏ lẻ thực hiện triển khai thử nghiệm các ứng dụng của họ trước khi đẩy chúng lên chợ ứng dụng iOS. Họ cho phép nhà phát triển ứng dụng sử dụng phương thức phân phát ứng dụng ad-hoc của Apple để phân phát các ứng dụng tới các thiết bị iOS – một quá trình có mục đích cho phép các nhà phát triển phân phối các ứng dụng một cách trực tiếp tới một lượng thiết bị giới hạn với mục đích thử nghiệm.

Tuy nhiên, một số dịch vụ như vậy dễ dàng bị lạm dụng bởi các nhà phát triển có ý đồ xấu. Lạm dụng phân phát kiểu Ad hoc cho phép những kẻ phát triển mã độc né tránh quá trình kiểm tra của App Store và các nguy cơ bị thu hồi các chứng chỉ của ứng dụng.

Để triển khai các ứng dụng, các trang này phân phối một tệp manifest được gọi là mobileconfig, tệp này có chứa các thông tin chi tiết như địa chỉ URL payload của ứng dụng, tên hiển thị của ứng dụng và một mã định danh đặc biệt (UUID) dành cho payload. Chủ nhân của thiết bị được nhắc nhở cài đặt tệp manifest này; trong khi cài đặt, thông số UUID (unique device identifier) của thiết bị iOS được gửi đến máy chủ, và thiết bị của người dùng được đăng ký tới một tài khoản nhà phát triển. Gói IPA (iOS App Store package) có chứa ứng dụng sau đó được đẩy tới người dùng để tải về. Hướng dẫn về quá trình này – chính là quá trình được sử dụng bởi các ứng dụng giả mạo – có sẵn trên trang Dandelion và các trang khác, bao gồm video demo đầy đủ.

Trong khi nhiều dịch vụ Super Signature dành cho nhà phát triển có thể đang trợ giúp những nhà phát triển ứng dụng nhỏ lẻ, trong quá trình điều tra, Sophos nhận thấy mã độc đã sử dụng nhiều dịch vụ phân phối ứng dụng thương mại như vậy. Các dịch vụ đó cung cấp các tùy chọn ‘One-click upload of App Installation’, có nghĩa là bạn chỉ cần cung cấp tệp IPA. Các dịch vụ đó tự quảng cáo như một giải pháp thay thế đối với chợ ứng dụng iOS, giải quyết vấn đề phân phối ứng dụng và đăng ký các thiết bị.

Trong khi những dịch vụ này tuyên bố không chịu trách nhiệm đối với nguy cơ gây ra bởi những ứng dụng độc hại được triển khai thông qua họ, và họ không kiểm tra nội dung của những ứng dụng hoặc các configuration profile đi kèm với các ứng dụng đó, các ứng dụng này có vẻ đã vi phạm điều khoản của Apple bằng cách lợi dụng một cơ chế phân phối dành cho việc thử nghiệm có giới hạn như một cách thức để triển khai các ứng dụng thương mại và mã độc. Một vài dịch vụ đang phát tán mã độc dạng này là appleabc1[.]com và abcv120[.]com , các trang này đã không còn truy cập được nữa.

Để thực hiện chiêu trò này đòi hỏi kẻ lừa đảo thực hiện rất nhiều kỹ năng kỹ thuật xã hội lên phía nạn nhân.

Nếu người dùng quyết định tải về ứng dụng iOS, cú nhấp chuột đưa họ tới một trang web giả mạo chợ ứng dụng iOS và trang này yêu cầu người dùng tải về tệp cấu hình quản trị thiết bị. Trang này thậm chí còn có các đánh giá giả mạo để thuyết phục mục tiêu tin rằng ứng dụng này hợp lệ.

Nếu mục tiêu chọn cho phép tải về, tệp manifest sau được tải về máy mục tiêu:

 PayloadContent        
            URL
            https://sj9956[.]com/ios/udid?tag=xxxxxxxxxxxcc
            DeviceAttributes
            
                UDID
                IMEI
                ICCID
                VERSION
                PRODUCT            
        PayloadOrganization
        授权安装进入下一步 (Authorize installation to the next step)
        PayloadDisplayName
        金道交易 --【点击安装】 (Golden Way Trading --【Click to install】)
        PayloadVersion
        1
        PayloadUUID
        3C4DC7D2-E475-3375-489C-0BB8D737A653
        PayloadIdentifier
        com.eletradeapp.jdjy
        PayloadDescription
        该配置文件帮助用户进行APP授权安装!This configuration file helps users with APP license installation!
        PayloadType
        Profile Service 

 

Tệp hồ sơ một khi được cài đặt, khởi chạy một trình duyệt web tải về tệp IPA.

Tệp hồ sơ tự động đăng ký thiết bị của nạn nhân tới tài khoản nhà phát triển được sử dụng để ký tệp IPA đã được tải về. Sau đó đẩy ứng dụng về thiết bị của nạn nhân.

Web Clips

Trong một vài trường hợp, các trang phát tán ứng dụng iOS thả vào máy người dùng một “web clips” thay vì các tệp IPA. Web clips là một payload quản trị thiết bị di động có thể thêm đường dẫn tới một trang web trực tiếp lên màn hình chính của thiết bị iOS – khiến cho các ứng dụng trên nền web hoạt động (ít nhất là từ góc nhìn của người dùng) gần giống với ứng dụng di động hơn. Một cú chạm vào biểu tượng trên màn hình chính đưa người dùng tới thẳng địa chỉ URL của ứng dụng web.

Các web clips này trỏ đến phiên bản web của ứng dụng giả mạo, có giao diện tương tự như các ứng dụng trên iOS.

Các ứng dụng trên Android mà Sophos phát hiện ra đã sử dụng cách tiếp cận hơi khác biệt để khiến cho ứng dụng web trông giống như ứng dụng di động. Các ứng dụng này có một địa chỉ URL tới máy chủ được lập trình vào trong ứng dụng và sử dụng một WebView để hiển thị trang tại địa chỉ URL gắn kèm này. Địa chỉ URL và một vài chuỗi dữ liệu quan trọng khác trong các ứng dụng Android được encode bằng một dự án mã nguồn mở được gọi là  StringFrog, dự án này sử dụng kết hợp giữa base64 và xor cùng với một mã lập trình cứng (hardcoded).

Giả mạo

Nếu người dùng hoàn thành quá trình cài đặt và khởi động ứng dụng, người dùng được nhắc nhở tạo một tài khoản – và trong một vài trường hợp, ứng dụng này yêu cầu mã mời, khả năng là để hạn chế truy cập ứng dụng chỉ với những mục tiêu đang được nhắm tới.

Một vài ứng dụng giao dịch giả mạo mà Sophos phân tích có một giao diện để cập nhật trạng thái giao dịch, các ví tiền, quỹ và các tính năng rút tiền, nạp tiền mã hóa hoạt động giống như các ứng dụng chính thức của chúng. Tuy nhiên, điểm khác biết chính đó là bất kỳ giao dịch nào cũng đi qua túi tiền của những kẻ lừa đảo.

Ứng dụng Kraken giả mạo

Dưới đây là một biên lai chuyển tiền đã được dịch từ ứng dụng giả mạo. Những ứng dụng này cũng có một đội ngũ hỗ trợ.

Sophos đã cố gắng liên hệ với đội ngũ hỗ trợ sử dụng tính năng chat đi kèm nhiều ứng dụng giả mạo; tất cả đều có kết quả phản hồi tương tự cho thấy khả năng cùng một nhóm hoặc nhiều nhóm đứng sau tất cả các ứng dụng này.

Khi yêu cầu nạp tiền, Sophos được đối tượng đưa cho các thông tin chi tiết về các tài khoản ngân hàng người nhận ở tại Hong Kong. Đây giống như một tài khoản cá nhân mà tiền được gửi qua hình thức chuyển khoản quốc tế. Thông tin chi tiết về tài khoản ngân hàng khác nhau ở các thời điểm khác nhau, tuy nhiên tất cả đều ở tại Hong Kong.

Người dùng tại Châu Á bị nhắm tới

Một trong những máy chủ có trong mã nguồn của ứng dụng có một thư mục để mở (open directory), từ đây, Sophos đã có thể thu thập được một lượng đáng kể dữ liệu được tải lên. Bao gồm nhiều hình ảnh về hộ chiếu, chứng minh thư nhân dân của cả nam lẫn nữ, giấy phép lái xe, thẻ bảo hiểm, và thẻ ngân hàng, các biên lai chuyển tiền mã hóa. Các hộ chiếu và thẻ định danh thuộc về các quốc gia như Nhật Bản, Malaysia, Hàn Quốc, và Trung Quốc.

Sophos tin rằng thông tin định danh đã bị lợi dụng để hợp pháp hóa các giao dịch tài chính và các biên lai bởi kẻ lừa đảo, như một hình thức để xác nhận về các khoản tiền nạp từ phía nạn nhân. Sophos cũng đã phát hiện ra nhiều hình ảnh hồ sơ của những người có ngoại hình thu hút có vẻ như được sử dụng để tạo các hồ sơ hẹn hò giả, điều này chỉ ra rằng việc hẹn hò có thể bị lợi dụng như một cái bẫy để dụ các nạn nhân.

Kết luận

Những người dùng ngây thơ có xu hướng đặt niềm tin vào những điều được giới thiệu bởi những kẻ mà họ nghĩ rằng họ hiểu rõ. Và cũng bởi những ứng dụng giả mạo này đã mạo danh các ứng dụng phổ biến từ khắp các nơi trên thế giới, cú lừa này có vẻ dễ tin tưởng hơn các cú lừa khác. Nếu có điều gì đó quá tốt để trở thành sự thật, như việc hứa hẹn khoản thu nhập cao khi đầu tư, hoặc hồ sơ hẹn hò trông có vẻ chuyên nghiệp yêu cầu bạn chuyển tiền hoặc đầu tư vào tiền ảo, thì đó chắc chắn là lừa đảo.

Để tránh trở thành nạn nhân của những ứng dụng độc hại này, người dùng chỉ nên cài đặt các ứng dụng từ các nguồn đáng tin cậy như Google Play và App Store. Những nhà phát triển của các ứng dụng thông dụng thường có một trang web điều hướng người dùng đến ứng dụng chính thống. Người dùng nên xác nhận xem liệu ứng dụng đó có được phát triển bởi nhà phát triển thực sự hay không.

Cơ chế phát tán được sử dụng ở các chiến dịch lừa đảo này mang lại một nguy cơ to lớn đối với người dùng. Quá trình Super Signature có thể bị lạm dụng bởi những kẻ lừa đảo để cài đặt mã độc trên các thiết bị của người dùng. Mối đe dọa này có thể (và nên) được khắc phục bởi Apple, ví dụ như Apple có thể ngăn chặn việc lạm dụng của cơ chế phân phối ứng dụng từ các bên thứ ba bằng cách cảnh báo người dùng khi việc phân phối ứng dụng qua Super Signature được lạm dụng để cài đặt các ứng dụng, hoặc khi các ứng dụng được phân phối quan hình thức ad-học đang được sử dụng trên thiết bị.

Như vậy là trong phần này, các bạn đã hiểu rõ hơn về cách kẻ lừa đảo dụ nạn nhân cài đặt các ứng dụng độc hại trên iOS và Android, hẹn gặp lại các bạn trong các phần tiếp theo.

Nguồn: Cyberlances.

scrolltop