UniShadowTrade
Una operació de frau generalitzada ha utilitzat programes de comerç falsificats a Apple App Store i Google Play Store, juntament amb llocs web de pesca, per enganyar les víctimes. Aquest esquema forma part d'una tàctica de frau d'inversió dels consumidors més àmplia, on els objectius potencials s'atrauen a invertir en criptomonedes o altres productes financers després d'establir confiança a través de la pretensió, ja sigui com a parella romàntica o com a assessor d'inversions.
Aquestes tàctiques enganyoses i manipuladores sovint fan que les víctimes perdin les seves inversions i, en alguns casos, se'ls pot pressionar perquè paguin comissions o costos addicionals. Els experts en ciberseguretat indiquen que aquesta campanya fraudulenta abasta diverses regions, amb víctimes denunciades a Àsia-Pacífic, Europa, Orient Mitjà i Àfrica. Les aplicacions fraudulentes, desenvolupades amb UniApp Framework, es coneixen col·lectivament com UniShadowTrade.
Taula de continguts
L'operació ha estat activa durant força temps
S'informa que el clúster d'activitats ha estat operatiu des d'almenys a mitjan 2023, atraient les víctimes amb aplicacions insegures que prometen uns rendiments financers ràpids. Una preocupació important és que una d'aquestes aplicacions va aconseguir eludir el procés de revisió de l'App Store d'Apple, creant una falsa sensació de legitimitat i confiança. L'aplicació, anomenada SBI-INT, s'ha eliminat des del mercat, però inicialment es va plantejar com un programari per a "fórmules matemàtiques algebraiques d'ús habitual i càlcul d'àrea de volum de gràfics en 3D".
Es creu que els ciberdelinqüents ho van aconseguir implementant una comprovació dins del codi font de l'aplicació per determinar si la data i l'hora actuals eren anteriors al 22 de juliol de 2024 a les 00:00:00. Si és així, l'aplicació mostraria una pantalla enganyosa plena de fórmules i gràfics. Després que l'aplicació es retirés unes setmanes després del llançament, els actors de l'amenaça van canviar el seu enfocament a distribuir l'aplicació a través de llocs web de pesca tant per a les plataformes Android com per a iOS.
Com funcionen aquestes aplicacions nocives
Per als usuaris d'iOS, fer clic al botó de descàrrega s'inicia la descàrrega d'un fitxer .plist, que demana al sistema que sol·liciti permís per instal·lar l'aplicació. Tanmateix, un cop finalitzada la descàrrega, l'aplicació no es pot iniciar immediatament. Aleshores, els ciberdelinqüents indiquen a la víctima que confiï manualment en el perfil de desenvolupador Enterprise. Un cop finalitzat aquest pas, es pot activar l'aplicació fraudulenta.
Els usuaris que procedeixen a instal·lar i obrir l'aplicació són rebuts per una pàgina d'inici de sessió que sol·licita el seu número de telèfon i contrasenya. El procés de registre inclou introduir un codi d'invitació, que indica que els atacants s'estan centrant en objectius específics per executar la seva tàctica.
Un cop registrades correctament, les víctimes entren en una seqüència d'atac de sis passos. Se'ls pressiona perquè enviïn documents d'identitat com a verificació, dades personals i informació laboral actual. A continuació, se'ls demana que acceptin els termes i condicions del servei per continuar amb les seves inversions.
Després de fer un dipòsit, els ciberdelinqüents proporcionen instruccions addicionals sobre quins instruments financers invertir, sovint reclamant un alt potencial de rendibilitat. Per perpetuar l'engany, l'aplicació es manipula per mostrar les inversions de les víctimes com si estiguessin generant beneficis.
Conseqüències greus de caure per la tàctica
Els problemes sorgeixen quan la víctima intenta retirar els seus fons, moment en què se li demana que paguin comissions addicionals per recuperar les seves inversions inicials i suposats beneficis. En realitat, els fons s'han recollit i redirigit a comptes controlats pels atacants.
Una altra tàctica innovadora emprada pels creadors de programari maliciós consisteix a incrustar una configuració que especifiqui l'URL que allotja la pàgina d'inici de sessió i altres detalls de l'aplicació de comerç falsa dins de l'aplicació. Aquesta configuració està allotjada en un URL enllaçat a un servei legítim anomenat TermsFeed, que proporciona programari de compliment per generar polítiques de privadesa, termes i condicions i banners de consentiment de galetes.
La primera aplicació identificada, distribuïda a través de l'App Store d'Apple, funciona com a descàrrega que només recupera i mostra l'URL d'una aplicació web. En canvi, la segona aplicació, obtinguda de llocs web de pesca, ja conté l'aplicació web dins dels seus actius.
Els investigadors assenyalen que aquest mètode és una opció estratègica per part dels actors de l'amenaça, dissenyada per reduir la probabilitat de detecció i evitar l'activació d'alarmes quan l'aplicació es distribueix a través de l'App Store.
Els usuaris d'Android també estaven en risc
Els experts en ciberseguretat també van identificar una aplicació d'inversió en accions fraudulenta a Google Play Store anomenada FINANS INSIGHTS (com.finans.insights). Una altra aplicació associada al mateix desenvolupador, Ueaida Wabi, és FINANS TRADER6 (com.finans.trader).
Tot i que les dues aplicacions d'Android estan actualment inactives a Play Store, s'han baixat menys de 5.000 vegades. FINANS INSIGHTS es va dirigir principalment als usuaris del Japó, Corea del Sud i Cambodja, mentre que FINANS TRADER6 estava disponible principalment a Tailàndia, Japó i Xipre.
Sigueu escèptics davant els missatges inesperats
Es demana als usuaris que tinguin precaució quan facin clic als enllaços i que evitin respondre missatges no sol·licitats d'individus desconeguts a les xarxes socials i plataformes de cites. És essencial verificar la legitimitat de les plataformes d'inversió i examinar acuradament les aplicacions, inclosos els seus editors, puntuacions i ressenyes dels usuaris, abans de baixar-les.
Els ciberdelinqüents continuen explotant plataformes de confiança com l'App Store d'Apple i Google Play per difondre programari maliciós disfressat d'aplicacions legítimes, aprofitant la confiança dels usuaris en aquests entorns segurs. Les víctimes se senten atretes per promeses de guanys econòmics ràpids, només per descobrir que no poden retirar els seus fons després de fer inversions substancials. L'ús d'aplicacions basades en web enfosquia encara més l'activitat insegura, fent que la detecció sigui encara més difícil.
