写点什么

“杀猪盘”APP 成功潜入苹果和谷歌应用商店

  • 2023-02-02
    北京
  • 本文字数:1037 字

    阅读完需:约 3 分钟

“杀猪盘”APP成功潜入苹果和谷歌应用商店

当地时间 2 月 1 日,安全公司 Sophos 的研究人员表示,他们在苹果和谷歌的应用商店中发现了“杀猪盘”App。这些“杀猪盘”App 经过精心设计,欺骗人们将大笔资金投入虚假投资骗局。

 

Sophos 以诈骗团伙 CryptoRom 为例介绍了诈骗过程。欺诈者在与受害者通过约会应用程序(Facebook 和 Tinder)接触并培养“感情”,然后他们被要求转移到 WhatsApp。建立了比较融洽的关系后,诈骗者称自己的亲戚在某个金融分析公司工作,并邀请受害者一起进行加密货币交易。此时,诈骗者会向受害者发送一个指向 Apple 应用商店的假冒应用程序链接,并指导受害者如何开始使用该应用程序进行“投资”:诈骗者让受害人将资金转移到 Binance 交易所,然后从 Binance 转移到假应用程序。

 

最初,受害者能够提取少量加密货币。但当受害者之后想要提取更多金额时,账户就被锁定了,并通过应用程序中的“客户支持”聊天被告知需要支付 20% 的费用才能继续访问。

 

Sophos 表示,此前,诈骗者为了诱导受害人安装 App 需要说服他们安装配置文件以启用应用程序安装。但最近诈骗者使用的应用程序已成功放入 Apple App Store,大大减少了将应用程序安装到受害者设备上的步骤。

 

Sophos 检查出的第一个“杀猪盘”App 与加密货币无关,而是一款名为“Ace Pro”的应用,其在应用商店中的描述为“二维码检查应用”。这类应用程序都成功通过了苹果 App Store 的审核流程。

 

据悉,所有通过 App Store 安装的应用程序都必须由开发人员使用 Apple 提供的证书进行签名,并且必须经过严格的审查程序以验证它们是否遵循 App Store 指南。如果犯罪分子能够通过这些检查,他们就有可能侵入数百万台设备。

 

那它们是如何绕过审核的呢?Sophos 发现,它们都使用远程内容来提供其恶意功能——这些内容可能在 App Store 审查完成之前一直被隐藏起来。

 

在 Ace Pro 应用程序案例中,恶意开发人员在应用程序中插入了与 QR 检查相关的代码和其他 iOS 应用程序库代码,以便让审核者误认为其是合法的。但是当应用程序启动时,它会向亚洲注册域 (rest[.]apizza[.]net) 发送请求,该域会使用来自另一个主机 (acedealex[.]xyz/wap) 的内容进行响应。正是这种响应机制提供了虚假的 CryptoRom 交易界面。犯罪分子很可能在应用程序审查时使用了看起来合法的网站进行响应,然后切换到 CryptoRom URL。



 目前,苹果和谷歌都已经删除了 Sophos 报告的“杀猪盘”应用程序。


参考链接:

https://news.sophos.com/en-us/2023/02/01/fraudulent-cryptorom-trading-apps-sneak-into-apple-and-google-app-stores/

2023-02-02 10:466365

评论 1 条评论

发布
用户头像
杀猪盘国内应该很多吧
2023-02-03 08:16 · 浙江
回复
没有更多了
发现更多内容

统一预估引擎的设计与实现

安第斯智能云

算法 后端

产业区块链迎来新纪元,基础设施建设成核心命题

CECBC

网络安全、Web安全、渗透测试之笔经面经总结

网络安全学海

面试 网络安全 信息安全 渗透测试 漏洞分析

图解 JavaScript 数组方法

devpoint

ES6 array 7月日更

用户管理系统 - 用户权限设计从入门到精通

蒋川

后台开发 权限系统 权限管理 权限架构 用户管理

下一代人工智能:逻辑理解?物理理解?

安第斯智能云

人工智能

10分钟掌握Java性能分析诀窍

安第斯智能云

Java 后端

云原生Web服务框架ESA Restlight

安第斯智能云

云原生

char+char=number

喵叔

7月日更

【架构训练营】模块二作业

zclau

Python OpenCV 图像的几何变换,先说不平凡的 resize 函数

梦想橡皮擦

Python 7月日更

🐬【MySQL技术导航】常用函数介绍(1)

码界西柚

MySQL 7月日更

快手上线本地生活榜单:自媒体平台在逐步蚕食搜索引擎市场

石头IT视角

在外包做开发3年,为了进大厂,耗时半年,整合出25W字Java全栈面试题,这就是我的决心

Java架构师迁哥

国内首家入驻统信系统的APaaS厂商

明道云

百度智能云人脸离线识别SDK再升级,优化复杂光线识别效果,急速通行无惧暗光

百度大脑

人脸识别 百度智能云

供应链、产品溯源以及区块链所面临的巨大阻碍是什么?

CECBC

如何抓住用户体验的关键时刻?

石云升

用户体验 关键时刻 7月日更

Java到底是什么?

卢卡多多

Java 入门 7月日更 Java入门

在线XML转CSV工具

入门小站

11道高频React面试题及详解,另附有React面试题集合

前端依依

面试 大前端 React

【软件测试转型自动化测试001】Python环境搭建&语法规则

程序员阿沐

Python 软件测试 自动化测试 环境搭建 语法规则

Rust从0到1-面向对象编程-概念

rust oop 面向对象编程

模型端侧加速哪家强?一文揭秘百度EasyEdge平台技术内核

百度大脑

人工智能 深度学习 百度 飞桨

场景背后见真章:银行数字化转型持续深入

CECBC

微信朋友圈复杂度分析

桂阳

拍乐云 X 青云科技,预见数字自由,相约 CIC 2021 云计算峰会

拍乐云Pano

获取微信小程序页面路径方法

一颗小树

小程序 微信开发者工具 页面路径 微信开发者

微信朋友圈高性能复杂度分析

木云先森

架构实战营

oCPX简介——广告界的“无人驾驶”技术

安第斯智能云

算法

Linux之ln命令

入门小站

Linux

“杀猪盘”APP成功潜入苹果和谷歌应用商店_文化 & 方法_褚杏娟_InfoQ精选文章