Gallagher stellte fest, dass die Website, über die die Betrüger ihre schädlichen Apps verbreiteten, so eingerichtet war, dass sie sich als echtes japanisches Finanzunternehmen ausgab und eine .com-Domain hatte. Es war sogar auf Google als eines der besten Ergebnisse sichtbar, sagt Gallagher, sodass Opfer es finden konnten, wenn sie versuchten, grundlegende Recherchen durchzuführen. „Für jemanden, der sich mit diesen Dingen nicht besonders gut auskennt, wäre dieser Teil ziemlich überzeugend“, sagt Gallagher.
Die Angreifer, von denen Sophos vermutet, dass sie in Hongkong ansässig sind, entwickelten Windows-, Android- und iOS-Apps von einem legitimen Handelsdienst eines russischen Softwareunternehmens. Bekannt als MetaTrader 4, haben Forscher von Sophos frühere Beispiele dafür gesehen, dass die Plattform missbraucht und für Betrug missbraucht wurde. Als Teil des Beitritts zur Plattform mussten die Opfer persönliche Daten, einschließlich Steueridentifikationsnummern und Fotos von amtlichen Ausweisdokumenten, offenlegen und dann damit beginnen, Bargeld auf ihr Konto zu überweisen.
Wie so oft bei einer Vielzahl von Betrugsversuchen verbreiteten die Angreifer ihre iOS-App mit einem kompromittierten Zertifikat für Apples Enterprise Device Management-Programm. Sophos-Forscher haben Kürzlich gefundene Apps zum Thema Schweineschlachten das hat Apples Verteidigung umgangen, um sich in den offiziellen App Store des Unternehmens zu schleichen.
Der zweite Betrug, dem Gallagher folgte, scheint von einem chinesischen Verbrechersyndikat von Kambodscha aus betrieben worden zu sein. Die Technologie für das Schema war weniger elegant und beeindruckend, aber immer noch umfangreich. Die Gruppe betrieb eine gefälschte Android- und iOS-Kryptowährungs-Handels-App, die sich als legitimer Marktverfolgungsdienst TradingView ausgab. Aber das Schema hatte einen viel weiter entwickelten und ausgefeilteren Social-Engineering-Arm, um Opfer anzulocken und ihnen das Gefühl zu geben, eine echte Beziehung zu dem Betrüger zu haben, was darauf hindeutet, dass sie Geld investieren.
„Es beginnt mit ‚Hey Jane, bist du immer noch in Boston?’ Also schrieb ich zurück: ‚Tut mir leid, falsche Nummer’, und von da an hatten wir einen Standardaustausch“, sagt Gallagher. Das Gespräch begann per SMS und wechselte dann zu Telegram.
Die Persona behauptete, eine malaysische Frau zu sein, die in Vancouver, British Columbia, lebte. Sie sagte, dass sie ein Weingeschäft betreibe, und schickte ein Foto von sich, auf dem sie neben einer Bar stand, obwohl die Bar hauptsächlich mit Spirituosen und nicht mit Wein gefüllt war. Gallagher konnte die Bar auf dem Foto schließlich als eine im Rosewood Hotel in der kambodschanischen Hauptstadt Phnom Penh identifizieren.
Auf Nachfrage sagte Gallagher erneut, dass er ein Forscher für Cybersicherheitsbedrohungen sei, aber der Betrüger ließ sich nicht abschrecken. Er fügte hinzu, dass seine Firma ein Büro in Vancouver habe und wiederholt versuchte, ein persönliches Treffen vorzuschlagen. Die Betrüger haben sich jedoch der List verschrieben, und Gallagher erhielt einige Audio- und Videobotschaften von der Frau auf dem Foto. Schließlich unterhielt er sich sogar per Video mit ihr.
„Ihre Englischkenntnisse waren ziemlich gut, sie befand sich an einem sehr unauffälligen Ort, es sah aus wie ein Raum mit akustischen Wandpolstern, eine Art Büro oder Konferenzraum“, sagt Gallagher. „Sie sagte mir, sie sei zu Hause, und unser Gespräch führte schnell zu der Frage, ob ich mit ihnen den Hochfrequenz-Kryptohandel machen würde.“
Kryptowährungs-Wallets, die mit dem Betrug in Verbindung gebracht werden, haben laut Sophos-Überwachung in einem einzigen Monat etwa 500.000 US-Dollar von den Opfern eingenommen.
Die Forscher meldeten ihre Ergebnisse zu beiden Betrügereien den relevanten Kryptowährungsplattformen, Technologieunternehmen und globalen Cybersecurity-Response-Teams, aber beide Operationen sind immer noch aktiv und konnten kontinuierlich neue Infrastrukturen aufbauen, als ihre Apps oder Wallets abgeschaltet wurden.
Sophos redigiert in seinen Berichten alle Bilder von Personen aus beiden Betrügereien, da Angriffe auf das Schlachten von Schweinen oft mit Zwangsarbeitern besetzt sind und die Teilnehmer möglicherweise gegen ihren Willen arbeiten. Gallagher sagt, das Unheimlichste an den Angriffen sei, wie ihre Entwicklung und ihr Wachstum mehr Zwangsarbeit zusätzlich zu noch mehr verwüsteten und finanziell ruinierten Opfern bedeuten. Während sich die Strafverfolgungsbehörden auf der ganzen Welt bemühen, der Bedrohung entgegenzuwirken, zeigen detaillierte Details der Mechanismen der Systeme, wie sie funktionieren und wie schlüpfrig und anpassungsfähig sie sein können.