يونيشادو للتجارة

استخدمت عملية احتيال واسعة النطاق برامج تجارية مزيفة على متجر تطبيقات Apple ومتجر Google Play، إلى جانب مواقع التصيد الاحتيالي، لخداع الضحايا. هذا المخطط هو جزء من تكتيك احتيال استثماري أوسع نطاقًا، حيث يتم جذب الأهداف المحتملة إلى الاستثمار في العملات المشفرة أو المنتجات المالية الأخرى بعد بناء الثقة من خلال التظاهر - إما كشريك رومانسي أو مستشار استثماري.

غالبًا ما تؤدي هذه التكتيكات الخادعة والتلاعبية إلى خسارة الضحايا لاستثماراتهم، وفي بعض الحالات، قد يتعرضون للضغط لدفع رسوم أو تكاليف إضافية. يشير خبراء الأمن السيبراني إلى أن هذه الحملة الاحتيالية تمتد إلى مناطق متعددة، حيث تم الإبلاغ عن الضحايا في منطقة آسيا والمحيط الهادئ وأوروبا والشرق الأوسط وأفريقيا. يشار إلى التطبيقات الاحتيالية، التي تم تطويرها باستخدام إطار عمل UniApp، بشكل جماعي باسم UniShadowTrade.

لقد كانت العملية نشطة لفترة طويلة

وتشير التقارير إلى أن مجموعة الأنشطة هذه كانت تعمل منذ منتصف عام 2023 على الأقل، حيث اجتذبت الضحايا بتطبيقات غير آمنة تعد بعوائد مالية سريعة. ومن بين المخاوف الكبيرة أن أحد هذه التطبيقات تمكن من تجاوز عملية مراجعة متجر تطبيقات آبل، مما خلق شعورًا زائفًا بالشرعية والثقة. ومنذ ذلك الحين، تمت إزالة التطبيق، المسمى SBI-INT، من السوق ولكن في البداية تم تقديمه كبرنامج "للصيغ الرياضية الجبرية الشائعة الاستخدام وحساب مساحة حجم الرسومات ثلاثية الأبعاد".

يُعتقد أن مجرمي الإنترنت حققوا ذلك من خلال تنفيذ فحص داخل الكود المصدر للتطبيق لتحديد ما إذا كان التاريخ والوقت الحاليين قبل 22 يوليو 2024، 00:00:00. إذا كان الأمر كذلك، فسيعرض التطبيق شاشة خادعة مليئة بالصيغ والرسومات. بعد إزالة التطبيق بعد أسابيع قليلة من إطلاقه، ورد أن الجهات الفاعلة في التهديد حولت تركيزها إلى توزيع التطبيق من خلال مواقع التصيد الاحتيالي لكل من منصات Android وiOS.

كيف تعمل هذه التطبيقات الضارة

بالنسبة لمستخدمي iOS، يؤدي النقر على زر التنزيل إلى بدء تنزيل ملف .plist، مما يدفع النظام إلى طلب الإذن لتثبيت التطبيق. ومع ذلك، بعد انتهاء التنزيل، لا يمكن تشغيل التطبيق على الفور. ثم يقوم مجرمو الإنترنت بتوجيه الضحية للثقة في ملف تعريف مطور Enterprise يدويًا. بمجرد اكتمال هذه الخطوة، يمكن تنشيط التطبيق الاحتيالي.

يتم استقبال المستخدمين الذين يقومون بتثبيت التطبيق وفتحه بصفحة تسجيل دخول تطلب رقم الهاتف وكلمة المرور. تتضمن عملية التسجيل إدخال رمز دعوة، مما يشير إلى أن المهاجمين يركزون على أهداف محددة لتنفيذ تكتيكهم.

بعد التسجيل الناجح، يدخل الضحايا في سلسلة من الهجمات تتكون من ست خطوات. حيث يتم الضغط عليهم لتقديم وثائق الهوية للتحقق، والتفاصيل الشخصية، ومعلومات العمل الحالية. ثم يُطلب منهم الموافقة على شروط وأحكام الخدمة للمضي قدمًا في استثماراتهم.

بعد إجراء إيداع، يقدم مجرمو الإنترنت تعليمات إضافية حول الأدوات المالية التي يجب الاستثمار فيها، ويزعمون غالبًا إمكانية تحقيق عوائد مرتفعة. ولإدامة الخداع، يتم التلاعب بالتطبيق لعرض استثمارات الضحايا وكأنها تدر أرباحًا.

عواقب وخيمة للوقوع في فخ هذه التكتيكات

تنشأ المشاكل عندما يحاول الضحية سحب أمواله، وعند هذه النقطة يُطلب منه دفع رسوم إضافية لاستعادة استثماراته الأولية والأرباح المفترضة. في الواقع، تم جمع الأموال وإعادة توجيهها إلى حسابات يسيطر عليها المهاجمون.

تتضمن إحدى التكتيكات المبتكرة التي يستخدمها منشئو البرامج الضارة تضمين تكوين يحدد عنوان URL الذي يستضيف صفحة تسجيل الدخول وتفاصيل أخرى لتطبيق التداول المزيف داخل التطبيق. يتم استضافة هذا التكوين على عنوان URL مرتبط بخدمة شرعية تسمى TermsFeed، والتي توفر برامج الامتثال لإنشاء سياسات الخصوصية والشروط والأحكام ولافتات موافقة ملفات تعريف الارتباط.

يعمل التطبيق الأول الذي تم تحديده، والذي تم توزيعه من خلال متجر تطبيقات Apple، كأداة تنزيل تقوم فقط باسترداد وعرض عنوان URL لتطبيق الويب. وعلى النقيض من ذلك، فإن التطبيق الثاني، الذي تم الحصول عليه من مواقع التصيد الاحتيالي، يحتوي بالفعل على تطبيق الويب ضمن أصوله.

وأشار الباحثون إلى أن هذه الطريقة تعد خيارًا استراتيجيًا من جانب الجهات الفاعلة في التهديد، وهي مصممة لتقليل احتمالية الكشف وتجنب إثارة الإنذارات عند توزيع التطبيق عبر متجر التطبيقات.

مستخدمو أندرويد كانوا أيضًا معرضين للخطر

كما حدد خبراء الأمن السيبراني تطبيقًا احتياليًا للاستثمار في الأسهم على متجر Google Play باسم FINANS INSIGHTS (com.finans.insights). وهناك تطبيق آخر مرتبط بنفس المطور، Ueaida Wabi، وهو FINANS TRADER6 (com.finans.trader).

على الرغم من أن كلا التطبيقين لنظام Android غير نشطين حاليًا على متجر Play، فقد تم تنزيلهما أقل من 5000 مرة. استهدف FINANS INSIGHTS في المقام الأول المستخدمين في اليابان وكوريا الجنوبية وكمبوديا، بينما كان FINANS TRADER6 متاحًا بشكل أساسي في تايلاند واليابان وقبرص.

كن متشككًا بشأن الرسائل غير المتوقعة

يُحث المستخدمون على توخي الحذر عند النقر على الروابط وتجنب الاستجابة للرسائل غير المرغوب فيها من أفراد غير مألوفين على وسائل التواصل الاجتماعي ومنصات المواعدة. من الضروري التحقق من شرعية منصات الاستثمار وفحص التطبيقات بعناية، بما في ذلك الناشرون والتقييمات ومراجعات المستخدمين، قبل التنزيل.

ويواصل مجرمو الإنترنت استغلال المنصات الموثوقة مثل متجر تطبيقات آبل وجوجل بلاي لنشر البرمجيات الخبيثة متخفية في هيئة تطبيقات شرعية، مستغلين بذلك ثقة المستخدمين في هذه البيئات الآمنة. وينجذب الضحايا إلى الوعود بتحقيق مكاسب مالية سريعة، لكنهم يكتشفون أنهم لا يستطيعون سحب أموالهم بعد إجراء استثمارات كبيرة. ويؤدي استخدام التطبيقات القائمة على الويب إلى إخفاء النشاط غير الآمن، مما يجعل الكشف عنه أكثر صعوبة.