Pig Butchering

CryptoRom-Betrüger schleichen sich in App-Stores von Apple und Google

Uhr
von Joël Orizet und yzu

Cyberkriminelle haben einen neuen Trick gefunden, um die Sicherheits-Checks von App-Store-Betreibern zu unterwandern. Mithilfe von sich ändernden Remote-Inhalten schleusen sie gefälschte CryptoRom-Apps nun auch direkt in die App-Stores von Google und Apple.

(Source: dvoriankin / iStock.com)
(Source: dvoriankin / iStock.com)

Die CryptoRom-Betrugsmasche nimmt neue Dimensionen an. Hinter diesem Vorgehen, auch bekannt als "Pig Butchering"-Methode, stecken professionelle Finanzbetrüger, die Nutzerinnen und Nutzer von Dating-Apps ködern und im Verlauf einer vorgetäuschten Liebesbeziehung dazu verleiten, vermeintliche Investitionen in Kryptowährungen zu tätigen. Tatsächlich fliessen die Gelder aber direkt in die Taschen der Betrüger. 

Bislang nutzten die Kriminellen Workaround-Techniken, um Opfer davon zu überzeugen, gefälschte iPhone-Apps herunterzuladen, die nicht vom Apple App Store geprüft und zertifiziert wurden. Doch nun haben sie es erstmals geschafft, gefälschte CryptoRom-Apps direkt in den offiziellen App Store zu platzieren, wie der britische IT-Sicherheitsdienstleister Sophos mitteilt. Im Google Play Store habe man bereits vorher Apps dieser Art gesichtet.

Sicherheitsprotokolle haben versagt 

Mit den Apps "Ace Pro" und "MBM_BitScan" hätten die Betrüger die strengen Sicherheitsprotokolle von Apple erfolgreich umgangen. "Indem die Cyberkriminellen nun Anwendungen direkt, in den Apple App Store bringen konnten, haben sie ihren potenziellen Opferpool enorm vergrössert und profitieren zudem von der Tatsache, dass die meisten Benutzer Apple von Natur aus vertrauen", lässt sich Jagadeesh Chandraiah von Sophos zitieren. Der IT-Sicherheitsdienstleister habe Apple umgehend über den Fund benachrichtigt, woraufhin der Hersteller die betrügerischen Apps, aus dem App Store entfernt habe. 

Die App MBM-BitScan war zudem in Googles Play Store unter dem Namen BitScan zu finden. Auch Google habe die App nach der Benachrichtigung aus dem Store entfernt. 

Gefälschtes Facebook-Profil als Köder

In einem konkreten Fall, bei dem das Opfer mit „Ace Pro“ betrogen wurde, köderten die Betrüger das Ziel mit einem gut gefälschten Facebook-Profil einer Frau, die angeblich einen verschwenderischen Lebensstil in London führt, wie Sophos in der Mitteilung schreibt. Nachdem sie eine Beziehung zum Opfer aufgebaut hatten, wechselten die Betrüger zu Whatsapp und überzeugten die Person dort davon, die betrügerische App herunterzuladen. Von dort aus entfaltete sich der Kryptowährungsbetrug.

Die App "Ace Pro" wurde im App Store als QR-Code-Scanner beschrieben, ist aber eine betrügerische Krypto-Handelsplattform. Den Usern gaukelte man vor, sie könnten dort Währungen einzahlen und abheben. Das eingezahlte Geld ging jedoch direkt an die Betrüger. 

Der Trick mit sich verändernden Remote-Inhalten

Sophos geht davon aus, dass die Betrüger die Sicherheitsrichtlinien des App Store umgingen, indem sie die App zum Zeitpunkt der Überprüfung mit einer Website mit harmlosen Funktionen verknüpften. Die Domain enthielt laut Sophos Code für das QR-Scannen, damit sie für App-Kontrolleure legitim aussieht. Sobald die App jedoch genehmigt wurde, leiteten die Betrüger die App auf eine in Asien registrierte Domain um. Diese Domain sendet eine Anfrage, die mit Inhalten von einem anderen Host antwortet, der letztlich die gefälschte Handelsplattform liefert.

Mit der App "MBM_BitScan" verfolgten die Betrüger einen ähnlichen Ansatz. Die Applikation treibt gemäss Sophos auch auf Android-Geräten ihr Unwesen, dort ist sie jedoch nur als "BitScan" gelistet. Beide Apps kommunizierten mit derselben Command-and-Control-Infrastruktur, die dann wiederum mit einem Server Kontakt aufbaue, der einer legitimen japanischen Kryptofirma nachempfunden sei. Diese Fake-Seiten würden in Runtime laden, die bösartigen Inhalte verblieben auf dem Web-Server und nicht im Anwendungscode. Die Aufdeckung sei dementsprechend schwierig, da es für die Tester laut Mitteilung eben nicht ausreicht, nur den Code zu betrachten.

Übrigens: Im Januar warnte bereits der "Kassensturz" vor "Pig Butchering". Mit dieser Masche hätten es Cyberkriminelle zurzeit auch auf internetaffine Schweizer und Schweizerinnen abgesehen. Die Betrüger bauen zunächst eine persönliche Beziehung auf, bevor sie ihre Opfer überzeugen, all ihr Geld in eine angebliche Krypto-App zu stecken. Lesen Sie hier mehr dazu
 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
akUtPFwo