Fałszywe aplikacje w App Store
Jak udało się oszukać proces weryfikacji aplikacji w App Store.
Opublikowano 01.02.2023 17:40
TL;DR: Sophos namierzył grupę , która oszukała proces weryfikacji aplikacji w Apple App Store. Ofiary znajdowano poprzez serwisy randkowe. Zachęcano je do inwestycji w kryptowaluty. Niczego nieświadome osoby instalowały aplikacje z App Store nie wiedząc o ich szemranym działaniu.
Obejście weryfikacji
Aby aplikacja mogła pojawić się w App Store musi przejść weryfikację.
Przestępcy przesłali do akceptacji aplikację Ace pro, która rzekomo miała służyć do weryfikacji kodów QR.
Podczas uruchomienia apka ta łączyła się z zewnętrznym serwerem, który zwracał jej adres strony, która miała zostać wyświetlona. W ten sposób wyświetlana treść była dynamiczna.
Aby zmienić treść wystarczyło zmienić odpowiedź serwera. Aplikacja się nie zmieniała. Nie musiała zatem na nowo przechodzić weryfikacji. Tak ominięto system. Poniżej widok rzekomej giełdy kryptowalut.
Czyli:
- Wysyłasz aplikację do Apple. Łączy się ona z Twoim serwerem i wyświetla zapisaną na nim treść.
- Czekasz aż pracownicy zweryfikują aplikację i dodadzą ją do sklepu. W tym czasie serwer zwraca treść powiązaną z rzekomym działaniem aplikacji. W tym wypadku informacje o odczytywaniu kodów QR.
- Gdy aplikacja zostanie zaakceptowana poszukujesz ofiar. Szukasz ich na portalach randkowych. Mamisz je swoimi zdjęciami przedstawiającymi drogie samochody i hotele.
- Po jakimś czasie proponujesz inwestycję w kryptowaluty. Wszystko bezpieczne. Przecież aplikacja jest w oficjalnym sklepie.
- Ofiara instaluje aplikację i kupuje realne kryptowaluty za prawdziwe pieniądze. Przelewa je na konto przestępców.
- Powtarzasz kroki 3-6 do momentu zablokowania aplikacji.
Dlaczego to działało
Użytkownicy iPhone'ów wierzą, że nie da się ich zaatakować. I rzeczywiście Apple bardzo dba o to co trafia do sklepu. Przypadki takie jak ten to rzadkość. I nie bardzo da się tutaj winić Apple. To przypadek bardzo podobny do fałszywych reklam - gdzie złośliwa zawartość pojawia się dopiero po weryfikacji. Nie da się wszystkiego kontrolować.
Można zabronić pobierania zawartości ze zdalnych serwerów. Ale wtedy praktycznie każda aplikacja przestanie działać. Facebook? Przecież pobiera posty ze swojego serwera. Instagram? Zdjęcia przecież też są na ich serwerach. Nawet Signal - przecież dane są pobierane z serwerów.
To ciekawy przykład zaawansowanego phishingu. I jeśli myślisz, że Ty nie dałbyś/nie dałabyś się nabrać to warto mieć na uwadze kilka elementów.
- Takie ataki są długofalowe. Dookoła jest wiele samotnych osób. Dla miłości są w stanie wiele zrobić. Chociażby dlatego, że boją się odrzucenia. Boją się, że jeśli tego nie zrobią ich wymarzona druga połówka ich odrzuci.
- W tego rodzaju atakach zazwyczaj na początku da się wypłacić zarobione pieniądze. Tak było w polskiej wersji tego przekrętu, kiedy to namawiano Polaków do inwestycji w Orlen. Przestępcy pozwalają Ci na wypłatę kilkuset złotych. Wiedzą, że wtedy im zaufasz i przelejesz większą kwotę. A tej już nie dostaniesz z powrotem.
Dlaczego Apple nie usunęło takiej aplikacji? Przecież na pewno oszukani ludzie zgłaszali ją jako oszustwo. No cóż. Chodzi o skalę. Ten rodzaj oszustwa jest czasochłonny. Musisz przecież najpierw porozmawiać z ofiarami aby później przekonać ich do wykonania dziwnych czynności.
To sprawia, że poszkodowanych nie liczymy w tysiącach ale raczej w dziesiątkach. A 15 złych opinii jeszcze o niczym nie świadczy. Przykład z naszego podwórka. Aplikację Wykop oceniło ponad 1000 osób a średni wynik to 1.1.
Można pomyśleć, że to oszustwo. No bo skąd tak niski wynik? Bez kontekstu nie wiesz, że aplikacja przestała działać bo wprowadzono nową wersję serwisu i użytkownicy wyrażają w ten sposób swoje niezadowolenie.
W App Store jest obecnie prawie 2 miliony aplikacji. Kilka zgłoszeń przy takiej skali to niewiele.