Az említett IT-biztonsági cég a Sophos, az azonosított appokat pedig a támadók arra használnak, hogy olyan emberektől lopjanak pénzt, akik abban a tévedésben voltak, hogy jól ismert és megbízható cégek pénzügyi, kereskedelmi, banki vagy kriptovaluta alkalmazását telepítettek.
A kutatási eredményekről szóló jelentés "Fake Android and iOS app disguised as trading and cryptocurrency apps", azaz "hamis Android és iOS appok, melyeket kereskedelmi és kriptovaluta alkalmazásoknak álcáztak" bemutatja, milyen social engineering technikákat és hamisított weboldalakat használtak a támadók, beleértve egy hamis iOS App Store letöltőoldalt és egy iOS app-tesztelő weboldalt, hogy a mit sem sejtő felhasználók felé terjesszék a hamis alkalmazásokat.
A kutatók megvizsgálták a hamis appokat és megállapították, hogy sok közülük nagyon hasonló. Némelyik ügyfélszolgálati opciót is tartalmaz. Amikor a kutatók kapcsolatba léptek a különböző ügyfélszolgálatokkal, azt találták, hogy a weboldalak szinte azonos nyelvezetet használtak. A kutatók felfedeztek egy olyan szervert is, amely csak önmagában 167 hamis kereskedelmi és kriptovaluta appot tartalmaz. Mindent egybevetve ez arra utal, hogy mindegyik csalást ugyanaz a csoport működteti.
Az egyik vizsgált taktikában a csalók társkereső appokon keresztül barátkoztak össze a felhasználókkal.
Profilt hoztak létre és üzeneteket váltottak az egyes célpontokkal, mielőtt megpróbálták volna rávenni őket arra, hogy telepítsenek egy hamis appot, illetve pénzt és kriptovalutát adjanak ahhoz. Ha a célpont később pénzt próbált felvenni a fiókról vagy megkísérelte törölni azt, a támadók egyszerűen blokkolták a hozzáférését.
Más esetekben az áldozatokat olyan weboldalakon keresztül verték át, amelyek egy megbízható brandre hasonlítottak, mint például egy bankra. A csalás üzemeltetői még egy hamis "iOS App Store" letöltőoldalt is létrehoztak hamis felhasználói értékelésekkel ellátva, hogy az áldozatok elhiggyék, a valódi App Store-ból telepítenek appokat.
Ha valaki a hamis alkalmazás letöltőlinkjére kattintott - akár Android, akár iOS esetében - olyasvalamit kapott, ami úgy nézett ki, mint egy mobil webalkalmazás, valójában azonban csak egy weboldalra hivatkozó parancsikon volt.
Az üzemeltetők a hamis iOS appok közül néhányat nem hivatalos weboldalakon keresztül is terjesztettek. Az ilyen típusú oldalak célja általában az, hogy limitált számú Apple eszköz felhasználóval segítsék az iOS fejlesztőket az új alkalmazások tesztelésében, mielőtt azokat a hivatalos App Store-ba feltöltenék. Ezt a szolgáltatást használják ki a bűnözők a kártékony alkalmazások terjesztésére.
A Sophos arra figyelmeztet, hogy azért, hogy ne essünk áldozatul az ilyen kártékony appoknak, csak olyan megbízható forrásokból telepítsünk applikációkat, mint például a Google Play vagy az Apple alkalmazásboltja.