Несмотря на то, что iOS считается более защищённой операционной системой, чем Android, мошенники всё равно могут обойти средства защиты ОС с помощью социальной инженерии. Используя аккаунт разработчика Apple Enterprise Developer, злоумышленникам удалось убедить пользователей установить на свои смартфоны троянское приложение и украсть $1,4 млн.
Владельцев «яблочных» гаджетов уговаривали установить модифицированную версию криптовалютного кошелька Bitfinex, разработанное самими же мошенниками. Передаваемая ссылка вела на фиктивный портал, сильно похожий на магазин AppStore.
Далее пользователей просили установить корпоративный MDM-профиль, предварительно созданный злоумышленниками. Чтобы полноценно активировать троян, требовалось выдать доверие корпоративному сертификату, который соединялся с серверами обманщиков.
В приложении кошелька Bitfinex просили создать и внести насчёт небольшую сумму денег, для того, чтобы пройти регистрацию, в результате чего и совершалась кража. В некоторых моментах пострадавшие велись на взнос дополнительной суммы под предлогом разблокировки счёта за комиссию.
Аналитики Sophos выяснили, что один из пользователей так потерял $87 тысяч. А итоговый результат ущерба от действий мошенников оценивается в $1,4 миллиона.
