Paris — février 1, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie une nouvelle étude intitulée « Fraudulent Trading Apps Sneak into Apple and Google App Stores », qui dévoile de nouvelles informations sur les escroqueries de type CryptoRom – des montages financiers frauduleux élaborés qui ciblent des utilisateurs d’applications de rencontre pour les inciter à faire de faux investissements dans des cryptomonnaies. L’étude décrit en détail les premières fausses applications CryptoRom – Ace Pro et MBM_BitScan – ayant réussi à contourner avec succès les protocoles stricts de sécurité d’Apple. Jusque-là, les cybercriminels employaient des stratagèmes pour convaincre leurs victimes de télécharger des applications iPhone non validées par l’App Store. Sophos en a immédiatement averti Apple et Google, qui ont retiré les applications frauduleuses de leurs stores.

« En règle générale, il est très difficile pour des malwares de passer au travers du processus de contrôle de sécurité dans l’App Store d’Apple. C’est pourquoi lorsque nous avons commencé à enquêter sur les escroqueries CryptoRom ciblant les utilisateurs iOS, les escrocs devaient d’abord persuader les utilisateurs d’installer un profil de configuration pour pouvoir ensuite implanter leur fausse application d’échange de cryptomonnaie. Cela nécessite de toute évidence un niveau supplémentaire d’ingénierie sociale, compliqué à franchir. De nombreuses victimes potentielles étaient “alertées” que quelque chose n’allait pas lorsqu’elles ne parvenaient pas à télécharger directement une application soi-disant légitime. En infiltrant une application dans l’App Store, les escrocs ont largement étendu leur lot de victimes potentielles, d’autant que la plupart des utilisateurs font intrinsèquement confiance à Apple », explique Jagadeesh Chandraiah, chercheur senior en menaces chez Sophos. « De plus, les deux applications ne sont pas touchées par le nouveau mode de verrouillage Lockdown d’iOS, qui empêche les escrocs de charger des profils mobiles à des fins d’ingénierie sociale. De fait, ces escrocs CryptoRom sont peut-être en train de changer de tactique – c’est-à-dire qu’ils se concentrent sur le contournement du processus de contrôle de l’App Store – à la lumière des fonctions de sécurité Lockdown. »

Par exemple, pour tromper une victime avec Ace Pro, les escrocs ont créé et mis à jour activement un faux profil Facebook d’une femme censée vivre dans un style de vie luxueux à Londres. Après avoir noué un contact avec la victime, les escrocs suggéraient à celle-ci de télécharger l’application frauduleuse Ace Pro, enclenchant ainsi la fraude à la cryptomonnaie.

Présentée sur l’App Store comme un lecteur de QR code, Ace Pro est en réalité une fausse plateforme d’échange de cryptomonnaie. Une fois l’application ouverte, l’utilisateur voit s’afficher une interface lui permettant prétendument de déposer et retirer des fonds. Or toute somme déposée va directement dans la poche des escrocs. Pour franchir les contrôles de sécurité de l’App Store, selon Sophos, les escrocs font en sorte que l’application, lors de son examen initial, se connecte à un site web distant aux fonctionnalités banales. Le domaine en question contient un logiciel destiné à la lecture de QR code, dans le but de leurrer les vérificateurs d’applications. Cependant, dès l’application approuvée, les escrocs l’ont redirigée vers un domaine enregistré en Asie. Ce domaine envoie une requête répondant avec du contenu provenant d’un autre hôte, qui aboutit finalement à l’installation d’une fausse interface d’échange de cryptomonnaie.

Quant à MBM_BitScan, il s’agit d’une application Android, connue sous le nom de BitScan sur Google Play. Les deux applications communiquent avec la même infrastructure de commande et contrôle, elle-même en contact avec un serveur imitant une société légitime de cryptomonnaie japonaise. Tout le reste du code malveillant est géré dans une interface web, raison pour laquelle les vérificateurs de Google Play éprouvent des difficultés à détecter cette application comme frauduleuse.

Faisant partie des escroqueries de type « pig butchering » (en chinois Sha Zhu Pan), CryptoRom est une opération très bien organisée, combinant des techniques d’ingénierie sociale centrées sur des rencontres amoureuses, des applications et des plateformes frauduleuses d’échange de cryptomonnaie afin de dérober les fonds des victimes après avoir gagné leur confiance. Sophos suit et étudie depuis deux ans ces arnaques qui ont récolté des millions de dollars.

Pour en savoir plus sur les criminels qui se cachent derrière CryptoRom et ces applications frauduleuses, consultez l’étude « Fraudulent CryptoRom Trading Apps Sneak into Apple and Google App Stores » sur Sophos.com.

Pour en savoir plus sur…

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.