UniShadowTrade
Широко разпространена операция за измама използва фалшиви програми за търговия в Apple App Store и Google Play Store, заедно с фишинг уебсайтове, за да измами жертвите. Тази схема е част от по-широка тактика за инвестиционни измами на потребителите, при която потенциални цели са привлечени да инвестират в криптовалути или други финансови продукти, след като са установили доверие чрез преструвка - или като романтичен партньор, или като инвестиционен съветник.
Тези измамни и манипулативни тактики често водят до загуба на инвестициите на жертвите, а в някои случаи те могат да бъдат принудени да плащат допълнителни такси или разходи. Експертите по киберсигурност посочват, че тази измамна кампания обхваща множество региони, като жертвите са докладвани в Азиатско-тихоокеанския регион, Европа, Близкия изток и Африка. Измамните приложения, разработени с помощта на UniApp Framework, се наричат заедно UniShadowTrade.
Съдържание
Операцията е активна от доста време
Съобщава се, че клъстерът от дейности е действащ най-малко от средата на 2023 г., примамвайки жертвите с опасни приложения, които обещават бърза финансова възвръщаемост. Голямо безпокойство е, че едно от тези приложения успя да заобиколи процеса на преглед на App Store на Apple, създавайки фалшиво чувство за легитимност и доверие. Приложението, наречено SBI-INT, оттогава беше премахнато от пазара, но първоначално се представяше като софтуер за „често използвани алгебрични математически формули и изчисляване на обемна площ на 3D графика“.
Смята се, че киберпрестъпниците са постигнали това, като са извършили проверка в изходния код на приложението, за да определят дали текущата дата и час са били преди 22 юли 2024 г., 00:00:00. Ако е така, приложението ще покаже измамен екран, пълен с формули и графики. След като приложението беше свалено няколко седмици след стартирането, участниците в заплахата според съобщенията са преместили фокуса си към разпространението на приложението чрез фишинг уебсайтове за платформи Android и iOS.
Как работят тези вредни приложения
За потребители на iOS щракването върху бутона за изтегляне инициира изтеглянето на .plist файл, който подканва системата да поиска разрешение за инсталиране на приложението. Въпреки това, след като изтеглянето приключи, приложението не може да бъде стартирано веднага. След това киберпрестъпниците инструктират жертвата ръчно да се довери на профила на разработчика на Enterprise. След като тази стъпка приключи, измамното приложение може да бъде активирано.
Потребителите, които продължат да инсталират и отворят приложението, са посрещнати от страница за вход, която изисква техния телефонен номер и парола. Процесът на регистрация включва въвеждане на код за покана, който показва, че нападателите се фокусират върху конкретни цели, за да изпълнят своята тактика.
При успешна регистрация жертвите влизат в последователност от шест стъпки на атака. Те са принудени да представят документи за самоличност като проверка, лични данни и актуална информация за работа. След това те са помолени да се съгласят с правилата и условията на услугата, за да продължат с инвестициите си.
След като направят депозит, киберпрестъпниците предоставят допълнителни инструкции в кои финансови инструменти да инвестират, като често претендират за висока потенциална възвръщаемост. За да продължи измамата, приложението се манипулира, за да показва инвестициите на жертвите така, сякаш генерират печалби.
Тежки последици от увличането по тактиката
Проблеми възникват, когато жертвата се опита да изтегли средствата си, в който момент тя е подканена да плати допълнителни такси, за да възстанови своите първоначални инвестиции и предполагаеми печалби. В действителност средствата са събрани и пренасочени към сметки, контролирани от нападателите.
Друга новаторска тактика, използвана от създателите на злонамерен софтуер, включва вграждане на конфигурация, която посочва URL адреса, хостващ страницата за вход, и други подробности за фалшивото приложение за търговия в приложението. Тази конфигурация се хоства на URL адрес, свързан към законна услуга, наречена TermsFeed, която предоставя софтуер за съответствие за генериране на политики за поверителност, правила и условия и банери за съгласие за бисквитки.
Първото идентифицирано приложение, разпространявано чрез Apple App Store, функционира като програма за изтегляне, която просто извлича и показва URL адрес на уеб приложение. За разлика от това, второто приложение, получено от фишинг уебсайтове, вече съдържа уеб приложението в своите активи.
Изследователите отбелязват, че този метод е стратегически избор от участниците в заплахата, предназначен да намали вероятността от откриване и да избегне задействането на аларми, когато приложението се разпространява чрез App Store.
Потребителите на Android също бяха изложени на риск
Експертите по киберсигурност също идентифицираха измамно приложение за инвестиране в акции в Google Play Store, наречено FINANS INSIGHTS (com.finans.insights). Друго приложение, свързано със същия разработчик, Ueaida Wabi, е FINANS TRADER6 (com.finans.trader).
Въпреки че и двете приложения за Android в момента са неактивни в Play Store, те са изтеглени по-малко от 5000 пъти. FINANS INSIGHTS беше насочен основно към потребители в Япония, Южна Корея и Камбоджа, докато FINANS TRADER6 беше наличен главно в Тайланд, Япония и Кипър.
Бъдете скептични към неочакваните съобщения
Потребителите се призовават да бъдат внимателни, когато кликват върху връзки и да избягват да отговарят на нежелани съобщения от непознати лица в социалните медии и платформите за запознанства. От съществено значение е да проверите легитимността на инвестиционните платформи и внимателно да проучите приложенията, включително техните издатели, оценки и потребителски отзиви, преди да ги изтеглите.
Киберпрестъпниците продължават да експлоатират надеждни платформи като Apple App Store и Google Play, за да разпространяват зловреден софтуер, маскиран като легитимни приложения, като се възползват от доверието на потребителите в тези сигурни среди. Жертвите са привлечени от обещания за бързи финансови печалби, само за да открият, че не могат да изтеглят средствата си, след като са направили значителни инвестиции. Използването на уеб-базирани приложения допълнително прикрива опасната дейност, което прави откриването още по-предизвикателно.
