Gallagher a découvert que le site Web que les escrocs utilisaient pour distribuer leurs applications malveillantes avait été configuré pour se faire passer pour une véritable société financière japonaise et avait un domaine .com. Il était même visible sur Google comme l’un des meilleurs résultats, dit Gallagher, afin que les victimes puissent le trouver si elles tentaient de faire des recherches de base. “Pour quelqu’un qui n’est pas particulièrement bien informé sur ces choses, cette partie serait assez convaincante”, dit Gallagher.
Les attaquants, que Sophos soupçonne d’être basés à Hong Kong, ont développé des applications Windows, Android et iOS à partir d’un service commercial légitime d’une société de logiciels russe. Connu sous le nom de MetaTrader 4, les chercheurs de Sophos ont vu des exemples passés d’utilisation abusive et d’abus de la plate-forme à des fins frauduleuses. Dans le cadre de leur adhésion à la plateforme, les victimes devaient divulguer des informations personnelles, notamment des numéros d’identification fiscale et des photos de documents d’identité gouvernementaux, puis commencer à transférer de l’argent sur leur compte.
Comme c’est souvent le cas dans un large éventail d’escroqueries, les attaquants distribuaient leur application iOS à l’aide d’un certificat compromis pour le programme de gestion des appareils d’entreprise d’Apple. Les chercheurs de Sophos ont récemment trouvé des applications liées à la boucherie de porcs qui contournaient les défenses d’Apple pour se faufiler dans l’App Store officiel de l’entreprise.
La deuxième arnaque suivie par Gallagher semble avoir été dirigée par un syndicat du crime chinois hors du Cambodge. La technologie du schéma était moins élégante et impressionnante mais toujours expansive. Le groupe a exécuté une fausse application de trading de crypto-monnaie Android et iOS qui se faisait passer pour le service légitime de suivi du marché TradingView. Mais le stratagème avait un bras d’ingénierie sociale beaucoup plus développé et sophistiqué pour attirer les victimes et leur donner l’impression d’avoir une vraie relation avec l’escroc suggérant qu’ils investissent de l’argent.
“Ça commence par ‘Hey Jane, es-tu toujours à Boston ?’ alors j’ai renvoyé un message, “Désolé, mauvais numéro”, et nous avons eu un échange standard à partir de là », explique Gallagher. La conversation a commencé par SMS, puis s’est déplacée vers Telegram.
Le personnage prétendait être une femme malaisienne vivant à Vancouver, en Colombie-Britannique. Elle a dit qu’elle dirigeait une entreprise de vin et a envoyé une photo d’elle debout à côté d’un bar, bien que le bar soit principalement approvisionné en alcool, pas en vin. Gallagher a finalement pu identifier le bar sur la photo comme étant celui du Rosewood Hotel dans la capitale cambodgienne, Phnom Penh.
Lorsqu’on lui a demandé, Gallagher a de nouveau déclaré qu’il était un chercheur sur les menaces de cybersécurité, mais l’escroc n’a pas été dissuadé. Il a ajouté que son entreprise avait un bureau à Vancouver et a tenté à plusieurs reprises de suggérer une rencontre en personne. Les escrocs étaient cependant commis à la ruse et Gallagher a reçu quelques messages audio et vidéo de la femme sur la photo. Finalement, il a même discuté avec elle par vidéo.
“Ses compétences en anglais étaient assez bonnes, elle se trouvait dans un endroit très quelconque, cela ressemblait à une pièce avec des coussins muraux acoustiques, un peu comme un bureau ou une salle de conférence”, explique Gallagher. “Elle m’a dit qu’elle était à la maison, et notre conversation s’est rapidement orientée vers la question de savoir si j’allais faire le trading de crypto à haute fréquence avec eux.”
Les portefeuilles de crypto-monnaie associés à l’escroquerie ont rapporté environ 500 000 $ en un seul mois aux victimes, selon la surveillance de Sophos.
Les chercheurs ont rapporté leurs découvertes sur les deux escroqueries aux plates-formes de crypto-monnaie, aux entreprises technologiques et aux équipes mondiales d’intervention en matière de cybersécurité, mais les deux opérations sont toujours actives et ont pu établir en permanence de nouvelles infrastructures lorsque leurs applications ou leurs portefeuilles ont été supprimés.
Sophos supprime toutes les images de personnes des deux escroqueries dans ses rapports, car les attaques de boucherie de porc sont souvent menées par du personnel forcé et les participants peuvent travailler contre leur volonté. Gallagher dit que la chose la plus sinistre à propos des attaques est la façon dont leur évolution et leur croissance signifient plus de travail forcé en plus de victimes plus dévastées et financièrement ruinées. Alors que les forces de l’ordre du monde entier s’efforcent de contrer la menace, des détails détaillés sur les mécanismes des stratagèmes montrent comment ils fonctionnent et à quel point ils peuvent être glissants et adaptatifs.