Av de mobile plattformene er det Android som er det klart største målet for skadevare-aktører, men det betyr ikke på noe måte at iOS slipper unna. Nå rapporteres det om en skadevare til Iphone som øker i omfang, også på vårt eget kontinent.
Sikkerhetsselskapet Sophos skriver om en ny skadevare døpt CryptoRom, som infiserer de mobile plattformene og svindler ofre med en kombinasjon av sosial manipulering og ondsinnede applikasjoner.
Svindelen rammer både Android og iOS, men det nye denne gangen er at svindelen har begynt å ta i bruk ekstra snedige metoder for å ramme Iphone, en plattform som ofte regnes for å være tryggere enn Android på grunn av strenge sikkerhetsrutiner.
Svindel via kryptoapper
Selskapet meldte om CryptoRom allerede i oktober i fjor. Siden den gang har problemet spredt seg til nye land og regioner, også Europa, og i tillegg blitt mer sofistikert ved å finne nye måter å omgå Apples egne sikkerhetsmekanismer på.
Skadevaren kamuflerer seg hovedsakelig som kryptohandel-applikasjoner, derav navnet, og spres ved å først bygge tillit til ofrene gjennom sosiale medier og datingsnettsider – altså en form for «social engineering», som det kalles på engelsk.
Ofre kontaktes ifølge Sophos gjennom tjenester som Bumble, Tinder, Facebook og Grindr, og senere går kommunikasjonen gjerne over til meldingsapper. Etter at tillit er etablert, overtales ofrene til å installere applikasjoner med domener og kundeservice som fremstår legitime.
– De flytter samtalen til investeringer og ber dem om å investere et lite beløp, og til og med lar dem ta ut pengene med profitt som et agn. Etter dette bes de om å kjøpe ulike finansielle produkter eller investere i spesielle «profitable» handelsbegivenheter, skriver sikkerhetsselskapet om metoden.
Sophos har blitt kontaktet av en rekke ofre for svindelen, og som et eksempel på omfanget av svindelen delte en av dem en bitcoin-adresse som viser at vedkommende har overført verdier for rundt 1,4 millioner dollar.
Omgår App Store-sikkerheten
Det nye denne gangen er at bakmennene har tatt i bruk Apples egne verktøy for å omgå selskapets sikkerhetsmekanismer i distribusjonen av appene. CryptoRom-bakmennene skal blant ha tatt i bruk Apples Testflight-system for å installere appene på ofrenes enheter.
Testflight er en tjeneste for testing av betaversjoner av applikasjoner før de sendes til App Store. Testingen innebærer å distribuere appene til et begrenset antall brukere via e-post, og denne distribusjonen krever ingen sikkerhetsklarering fra App Store.
Bakmennene har i tillegg begynt å misbruke en annen Apple-funksjon, nemlig Web Clips. Dette er små ikoner som kan plasseres på iOS-enhetens hjemskjerm, som tar brukere direkte til en nettside og ikke trenger å gå gjennom App Store-godkjennelsene.
Som Sophos peker på, kan disse gjerne fremstå som en vanlig applikasjon for mindre oppmerksomme brukere, og ved å klikke på dem tas man altså til nettsider som kontrolleres av bakmennene som et ledd i svindeloperasjonen. Appene hermer gjerne etter kjente tjenester.
Sikkerhetsselskapet opplyser at de har rapportert samtlige av de CryptoRom-relaterte nettsidene og applikasjonene til både Apple og Google, men i skrivende stund er det uvisst om noen av dem har kommet med en respons.
Flere detaljer finner du i Sophos' rapport.
Sprer skadevare ved å sende ut USB-pinner til bedrifter
