Au cours de la dernière année, un nouveau terme est apparu pour décrire une escroquerie en ligne rapportant des millions, voire des milliards de dollars par an. C’est ce qu’on appelle la « boucherie de porcs », et maintenant même Apple se fait avoir en participant.

Des chercheurs de la société de sécurité Sophos ont déclaré mercredi avoir découvert deux applications disponibles sur l’App Store qui faisaient partie d’un réseau élaboré d’outils utilisés pour duper les gens afin qu’ils investissent de grosses sommes d’argent dans de fausses escroqueries à l’investissement. Au moins une de ces applications a également été intégrée à Google Play, mais ce marché est connu pour le nombre d’applications malveillantes qui contournent le contrôle de Google. Sophos a déclaré que c’était la première fois qu’il voyait de telles applications dans l’App Store et qu’une application précédente identifiée dans ces types d’escroqueries était une application légitime qui a ensuite été exploitée par de mauvais acteurs.

L’abattage de porcs repose sur une riche combinaison d’applications, de sites Web, d’hébergeurs Web et d’humains – dans certains cas, des victimes de la traite des êtres humains – pour établir une relation de confiance avec une marque sur une période de plusieurs semaines ou mois, souvent sous le couvert d’un intérêt romantique, conseiller financier , ou investisseur prospère. Finalement, la discussion en ligne se tournera vers des investissements, impliquant généralement de la crypto-monnaie, dont l’escroc prétend avoir gagné d’énormes sommes d’argent. L’escroc invite alors la victime à participer.

Une fois qu’une marque a déposé de l’argent, les escrocs lui permettent initialement d’effectuer des retraits. Les escrocs finissent par verrouiller le compte et prétendent qu’ils ont besoin d’un dépôt pouvant atteindre 20 % de leur solde pour le récupérer. Même lorsque l’acompte est payé, l’argent n’est pas restitué et les escrocs inventent de nouvelles raisons pour lesquelles la victime devrait envoyer plus d’argent. Le terme de boucherie de porc vient du fait qu’un agriculteur engraisse un porc des mois avant qu’il ne soit abattu.

Abus de confiance dans l’App Store

Sophos a déclaré avoir récemment trouvé deux listes iOS dans l’App Store qui étaient utilisées pour CryptoRom, un type de boucherie de porc qui utilise des ouvertures romantiques pour renforcer la confiance de ses victimes. Le premier s’appelait Ace Pro et prétendait être une application pour scanner les codes QR.

La deuxième application était MBM_BitScan, qui se présentait comme un traqueur de données en temps réel pour les crypto-monnaies. Une victime que Sophos a suivie a versé environ 4 000 $ dans l’application avant de se rendre compte qu’elle était fausse.

Apple est célèbre pour sa réputation, justifiée ou non, de filtrer les applications malveillantes avant qu’elles ne se retrouvent dans l’App Store. Combinée à de faux profils en ligne détaillés et à des histoires élaborées que les escrocs utilisent pour attirer les victimes, la présence des applications dans l’App Store a rendu la ruse d’autant plus convaincante.

« Si les criminels peuvent passer ces contrôles, ils ont le potentiel d’atteindre des millions d’appareils », ont écrit les chercheurs de Sophos. « C’est ce qui le rend plus dangereux pour les victimes de CryptoRom, car la plupart de ces cibles sont plus susceptibles de faire confiance à la source si elle provient de l’App Store officiel d’Apple. »

Les représentants d’Apple n’ont pas répondu à un e-mail demandant une interview pour cette histoire. Google PR a également refusé une interview, mais a déclaré dans un e-mail que la société avait supprimé l’application après avoir reçu un avertissement de Sophos.

Ace Pro et MBM_BitScan ont contourné le processus de vérification d’Apple en utilisant du contenu distant téléchargé à partir d’adresses Web codées en dur pour fournir leurs fonctionnalités malveillantes. Lorsque Apple examinait les applications, les sites fournissaient probablement un contenu bénin. Finalement, cela a changé.

Ace Pro, par exemple, a commencé à envoyer une requête au domaine rest.apizza[.]net, qui répondrait alors avec le contenu d’acedealex[.]xyz, qui fournirait la fausse interface de trading. MBN_BitScan a contacté un serveur hébergé par Amazon, qui à son tour a fait signe à flyerbit8[.]com, un domaine conçu pour ressembler au service Bitcoin légitime bitFlyer.

Le processus ressemblait à ceci :

La fausse interface donnait l’apparence de permettre aux utilisateurs de déposer et de retirer de l’argent et de répondre aux demandes de service client en temps réel. Pour faire démarrer les victimes, les escrocs leur ont demandé de transférer de l’argent dans l’échange Binance et, à partir de là, de Binance vers la fausse application.