“杀猪盘”APP 成功潜进苹果和谷歌使用商店

作者 | 褚杏娟

当地时间 2 月 1 日，安全公司 Sophos 的研究人员 表达，他们在苹果和谷歌的使用商店 中发现了“杀猪盘”App。这些“杀猪盘”App 经过精心设计，哄骗人们将大笔资金投进虚假投资骗局。

Sophos 以诈骗团伙 CryptoRom 为例介绍了诈骗过程。欺诈者在与受害者通过约会使用程序（Facebook 和 Tinder）接触并培植“感情”，然后他们被要求转移到 WhatsApp。建立了比较融洽的关系后，诈骗者称自己的亲戚在某个金融分析公司工作，并邀请受害者一起进行加密货币交易。此时，诈骗者会向受害者发送一个指向 Apple 使用商店的假冒使用程序链接，并指挥受害者如何开始使用该使用程序进行“投资”：诈骗者让受害人将资金转移到 Binance 交易所，然后从 Binance 转移到假使用程序。

最初，受害者能够提取少量加密货币。但当受害者之后想要提取更多金额时，账户就被锁定了，并通过使用程序中的“客户支持”谈天被告知需要支付 20% 的费用才能陆续访问。

Sophos 表达，此前，诈骗者为了诱导受害人安装 App 需要说服他们安装配置文件以启用使用程序安装。但最近诈骗者使用的使用程序已成功放进 Apple App Store，大大减少了将使用程序安装到受害者设备上的步骤。

Sophos 检查出的第一个“杀猪盘”App 与加密货币无关，而是一款名为“Ace Pro”的使用，其在使用商店中的描述为“二维码检查使用”。这类使用程序都成功通过了苹果 App Store 的审核流程。

据悉，所有通过 App Store 安装的使用程序都必须由开发人员使用 Apple 提供的证书进行签名，并且必须经过严厉的审查程序以验证它们是否遵循 App Store 指南。假如犯罪分子能够通过这些检查，他们就有可能侵略数百万台设备。

那它们是如何绕过审核的呢？Sophos 发现，它们都使用远程内容来提供其恶意功能——这些内容可能在 App Store 审查完成之前一直被隐躲起来。

在 Ace Pro 使用程序案例中，恶意开发人员在使用程序中插进了与 QR 检查相关的代码和其他 iOS 使用程序库代码，以便让审核者误认为其是合法的。但是当使用程序启动时，它会向亚洲注册域 (rest[.]apizza[.]net) 发送请求，该域会使用来自另一个主机 (acedealex[.]xyz/wap) 的内容进行响应。正是这种响应机制提供了虚假的 CryptoRom 交易界面。犯罪分子很可能在使用程序审查时使用了看起来合法的网站进行响应，然后切换到 CryptoRom URL。

目前，苹果和谷歌都已经删除了 Sophos 报告的“杀猪盘”使用程序。

参考链接：

/

点击底部阅读原文访问 InfoQ 官网，获取更多出色内容！

今日好文推举

指挥了上百万程序员，《代码大全》之父和你聊聊软件开发素养｜独家探访“编程圣经”背后故事

为谷歌工作 16 年被当“垃圾”无情辞退，数千网友留言：为公司“卖命”不值得

数百程序员专门教AI写代码、40个bug能修复31个，“取代程序员”这次要成真了？

Cloud IDE 是不是一个伪命题