headless 曰く、

ロマンス詐欺的な手法とソーシャルエンジニアリングを組み合わせて偽の暗号通貨アプリをインストールさせる組織的な詐欺キャンペーン CryptoRom で、iPhone ユーザーをターゲットにした新たな手法を Sophos が報告している (Sophos News の記事、 Ars Technica の記事、 Neowin の記事、 9to5Mac の記事)。

CryptoRom ではデーティングアプリやデーティングサイト、ランダムに送信した WhatsApp メッセージなどでターゲットと親しくなり、有名な暗号通貨取引ブランドを模した偽アプリをインストールさせる。少額な投資で利益を上げさせ、実際に利益の引き出しも可能にしてターゲットの信頼を得ると、さらに多額の投資をもちかける。

投資を増やすために資金の貸し付けも提案し、偽アプリへの入金も行われるが、入金や利益は偽物だ。最終的に資金を引き出そうとすると税金支払が必要だとしてアカウントは凍結される。詐欺はここで終わらず、税金を支払うための資金援助や、詐欺師から資金を取り戻すサービスなどを提案してさらに資金を吸い上げようとするとのこと。

Sophos では iOS デバイスに偽アプリをインストールさせる手法として、Super Signature として知られるアドホック配布方式を初めに確認し、Apple Enterprise Program の悪用も確認していた。今回新たに確認されたのは TestFlight を悪用する方法と、Web クリップを悪用する方法の 2 種類だ。

アプリのベータ版をテストする TestFlight に関しては、容易な利用を可能にする「TestFlight Signature」と呼ばれるサードパーティサービスの存在も確認されている。TestFlight で公開するアプリは Apple の審査を経ることになるが、通常の App Store の審査よりも甘いと考えられており、Super Signature や Enterprise Program よりも正規アプリらしく見えるため犯罪者に好まれているとのこと。

Web クリップは MDM に登録されたデバイスのホーム画面に Web ページなどへのリンクを追加する機能で、CryptoRom では偽の暗号通貨取引サイトに誘導するリンクを追加する。Sophos が話を聞いた範囲では被害の多くが Web クリップによるものだったという。