يقوم المحتالون الذين يدفعون البرامج الضارة لنظام التشغيل iOS بتصعيد لعبتهم من خلال إساءة استخدام ميزتين شرعيتين من Apple لتجاوز متطلبات فحص متجر التطبيقات وخداع الأشخاص لتثبيت تطبيقات ضارة.
لطالما طلبت شركة Apple أن تجتاز التطبيقات مراجعة أمنية وأن يتم قبولها في متجر التطبيقات قبل أن يتم تثبيتها على أجهزة iPhone و iPad. يمنع الفحص التطبيقات الضارة من الوصول إلى الأجهزة ، حيث يمكنهم بعد ذلك سرقة العملات المشفرة وكلمات المرور أو القيام بأنشطة شائنة أخرى.
سلط منشور نشرته شركة الأمان Sophos ، الأربعاء ، الضوء على طريقتين جديدتين يتم استخدامها في حملة الجريمة المنظمة التي يطلق عليها CryptoRom ، والتي تدفع تطبيقات العملة المشفرة المزيفة إلى مستخدمي iOS و Android المطمئنين. بينما يسمح Android بتطبيقات “التحميل الجانبي” من أسواق الجهات الخارجية ، تطلب Apple أن تأتي تطبيقات iOS من App Store ، بعد أن تخضع لمراجعة أمنية شاملة.
أرخص وأسهل
أدخل TestFlight ، وهو نظام أساسي توفره Apple للاختبار التجريبي للتطبيقات الجديدة. من خلال تثبيت تطبيق Apple’s TestFlight من متجر التطبيقات ، يمكن لأي مستخدم iOS تنزيل وتثبيت التطبيقات التي لم تجتاز عملية الفحص بعد. بمجرد تثبيت TestFlight ، يمكن للمستخدم تنزيل التطبيقات غير المصححة باستخدام الروابط التي ينشرها المهاجمون على مواقع الاحتيال أو في رسائل البريد الإلكتروني. يمكن للأشخاص استخدام TestFlight لدعوة ما يصل إلى 10000 مختبِر باستخدام عنوان بريدهم الإلكتروني أو من خلال مشاركة رابط عام.
كتب Jagadeesh Chandraiah ، محلل البرمجيات الخبيثة في شركة الأمن Sophos: “أفاد بعض الضحايا الذين اتصلوا بنا أنهم تلقوا تعليمات لتثبيت ما يبدو أنه BTCBOX ، وهو تطبيق لتبادل العملات المشفرة اليابانية”. “وجدنا أيضًا مواقع مزيفة انتحلت على أنها شركة تعدين العملات المشفرة BitFury تروج لتطبيقات مزيفة من خلال TestFlight. نواصل البحث عن تطبيقات CryptoRom الأخرى باستخدام نفس الأسلوب. “
أظهر منشور الأربعاء العديد من الصور المستخدمة في حملة CryptoRom. تلقى مستخدمو iOS الذين أخذوا الطُعم رابطًا أدى ، عند النقر عليه ، إلى قيام تطبيق TestFlight بتنزيل تطبيق العملة المشفرة المزيف وتثبيته.
سوفوس
قال Chandraiah إن ناقل TestFlight يوفر للمهاجمين مزايا غير متوفرة مع تقنيات تجاوز متجر التطبيقات المعروفة والتي تسيء أيضًا استخدام ميزات Apple المشروعة. إحدى هذه الميزات هي منصة Super Signature من Apple ، والتي تتيح للأشخاص استخدام حساب مطور Apple الخاص بهم لتقديم التطبيقات على أساس مخصص محدود. الميزة الأخرى هي برنامج الشركة المطور. يتيح للمؤسسات الكبيرة نشر تطبيقات خاصة للاستخدام الداخلي دون الحاجة إلى استخدام الموظفين لـ App Store. تتطلب كلتا الطريقتين من المحتالين دفع المال وإزالة العقبات الأخرى.
على النقيض من ذلك ، قال شاندريا ، TestFlight:
أرخص في الاستخدام من الأنظمة الأخرى لأن كل ما تحتاجه هو ملف IPA مع تطبيق مجمع. يتم التعامل مع التوزيع بواسطة شخص آخر ، وعندما (أو إذا) يتم ملاحظة البرامج الضارة والإشارة إليها ، يمكن لمطور البرامج الضارة الانتقال إلى الخدمة التالية والبدء من جديد. [TestFlight] يفضله مطورو التطبيقات الضارة في بعض الحالات على Super Signature أو Enterprise Signature لأنه أرخص قليلاً ويبدو أكثر شرعية عند توزيعه مع تطبيق Apple Test Flight. يُعتقد أيضًا أن عملية المراجعة أقل صرامة من مراجعة متجر التطبيقات.
هذا ليس كل شئ
قال المنشور إن المحتالين في CryptoRom يستخدمون ميزة Apple ثانية لإخفاء أنشطتهم. تضيف هذه الميزة – المعروفة باسم Web Clips – رابط صفحة ويب مباشرة إلى شاشة iPhone الرئيسية في شكل رمز يمكن الخلط بينه وبين تطبيق غير ضار. تظهر قصاصات الويب بعد قيام المستخدم بحفظ ارتباط ويب.
قال الباحث في Sophos إن CryptoRom يمكنه استخدام Web Clips لإضافة نفوذ إلى عناوين URL الضارة التي تدفع التطبيقات المزيفة. إليك رمز لتطبيق يسمى RobinHand مصمم لتقليد تطبيق التداول الشرعي Robinhood.
سوفوس
يعتمد المحتالون في CryptoRom بشكل كبير على الهندسة الاجتماعية. يستخدمون مجموعة متنوعة من الحيل لبناء علاقة مع الأهداف على الرغم من أنهم لا يلتقون وجهًا لوجه أبدًا. الشبكات الاجتماعية ومواقع المواعدة وتطبيقات المواعدة هي من بين هذه الحيل. في حالات أخرى ، يبدأ المحتالون علاقات من خلال “رسائل WhatsApp تبدو عشوائية تقدم للمستلمين نصائح حول الاستثمار والتداول”.
من المحتمل أن يكتشف مستخدمو الإنترنت الأذكياء إساءة استخدام TestFlight و Web Clips ، ولكن قد ينخدع الأشخاص الأقل خبرة. يجب أن يظل مستخدمو iOS حذرين تجاه أي موقع أو بريد إلكتروني أو رسالة ترشدهم إلى تنزيل التطبيقات من مصدر آخر غير متجر التطبيقات الرسمي. قال أحد ممثلي Apple إن صفحة الدعم هذه توضح كيفية تجنب عمليات الاحتيال والإبلاغ عنها. لدى Apple إرشادات إضافية هنا وهنا.