UniShadowTrade
Rozsáhlá podvodná operace využívá programy pro obchodování s padělky na Apple App Store a Google Play Store spolu s phishingovými weby, aby oklamaly oběti. Toto schéma je součástí širší taktiky spotřebitelských investičních podvodů, kdy jsou potenciální cíle zataženy do investování do kryptoměn nebo jiných finančních produktů poté, co si vytvoří důvěru prostřednictvím předstírání – buď jako romantický partner nebo investiční poradce.
Tyto klamavé a manipulativní taktiky často vedou k tomu, že oběti přijdou o své investice a v některých případech mohou být dotlačeny k placení dalších poplatků nebo nákladů. Experti na kybernetickou bezpečnost uvádějí, že tato podvodná kampaň zahrnuje několik regionů, přičemž oběti jsou hlášeny v Asii a Tichomoří, Evropě, na Středním východě a v Africe. Podvodné aplikace vyvinuté pomocí UniApp Framework jsou souhrnně označovány jako UniShadowTrade.
Obsah
Operace byla aktivní už docela dlouho
Uvádí se, že skupina aktivit je v provozu minimálně od poloviny roku 2023 a láká oběti na nebezpečné aplikace, které slibují rychlou finanční návratnost. Významným problémem je, že jedné z těchto aplikací se podařilo obejít proces kontroly App Store společnosti Apple a vytvořit falešný pocit legitimity a důvěry. Aplikace s názvem SBI-INT byla od té doby odstraněna z trhu, ale původně představovala software pro „běžně používané algebraické matematické vzorce a výpočet objemové plochy 3D grafiky“.
Předpokládá se, že kyberzločinci toho dosáhli implementací kontroly ve zdrojovém kódu aplikace, aby zjistili, zda aktuální datum a čas byly před 22. červencem 2024, 00:00:00. Pokud ano, aplikace zobrazí klamavou obrazovku plnou vzorců a grafiky. Poté, co byla aplikace několik týdnů po spuštění stažena, se aktéři hrozeb údajně zaměřili na distribuci aplikace prostřednictvím phishingových webů pro platformy Android i iOS.
Jak tyto škodlivé aplikace fungují
Pro uživatele iOS zahájí kliknutím na tlačítko stahování stahování souboru .plist, který vyzve systém, aby požádal o povolení k instalaci aplikace. Po dokončení stahování však nelze aplikaci okamžitě spustit. Kyberzločinci poté nařídí oběti, aby důvěřovala profilu vývojáře Enterprise ručně. Po dokončení tohoto kroku lze podvodnou aplikaci aktivovat.
Uživatelé, kteří přistoupí k instalaci a otevření aplikace, jsou uvítáni přihlašovací stránkou, která vyžaduje jejich telefonní číslo a heslo. Proces registrace zahrnuje zadání kódu pozvánky, který naznačuje, že se útočníci zaměřují na konkrétní cíle, aby provedli svou taktiku.
Po úspěšné registraci oběti zadají sekvenci útoku v šesti krocích. Jsou nuceni předložit doklady totožnosti jako ověření, osobní údaje a aktuální informace o zaměstnání. Poté jsou požádáni, aby souhlasili s podmínkami služby, aby mohli pokračovat ve svých investicích.
Po provedení vkladu kyberzločinci poskytnou další pokyny, do kterých finančních nástrojů investovat, přičemž často požadují vysoké potenciální výnosy. K udržení podvodu je aplikace manipulována tak, aby zobrazovala investice obětí, jako by generovaly zisky.
Těžké důsledky pádu pro taktiku
Problémy nastanou, když se oběť pokusí vybrat své finanční prostředky, v tomto okamžiku jsou vyzváni k zaplacení dalších poplatků, aby získali zpět své počáteční investice a předpokládané zisky. Ve skutečnosti byly finanční prostředky shromážděny a přesměrovány na účty kontrolované útočníky.
Další inovativní taktika, kterou tvůrci malwaru používají, zahrnuje vložení konfigurace, která specifikuje adresu URL hostující přihlašovací stránku a další podrobnosti o falešné obchodní aplikaci do aplikace. Tato konfigurace je hostována na adrese URL propojené s legitimní službou nazvanou TermsFeed, která poskytuje software pro zajištění souladu s předpisy pro generování zásad ochrany osobních údajů, smluvních podmínek a bannerů pro souhlas se soubory cookie.
První identifikovaná aplikace, distribuovaná prostřednictvím Apple App Store, funguje jako downloader, který pouze načte a zobrazí URL webové aplikace. Naproti tomu druhá aplikace, získaná z phishingových webů, již webovou aplikaci obsahuje ve svých aktivech.
Výzkumníci poznamenávají, že tato metoda je strategickou volbou aktérů hrozeb, která je navržena tak, aby snížila pravděpodobnost detekce a zabránila spouštění alarmů, když je aplikace distribuována prostřednictvím App Store.
V ohrožení byli také uživatelé systému Android
Odborníci na kybernetickou bezpečnost také identifikovali podvodnou aplikaci pro investice do akcií v Obchodě Google Play s názvem FINANS INSIGHTS (com.finans.insights). Další aplikací spojenou se stejným vývojářem, Ueaida Wabi, je FINANS TRADER6 (com.finans.trader).
Přestože jsou obě aplikace pro Android v současné době v Obchodě Play neaktivní, byly staženy méně než 5 000krát. FINANS INSIGHTS primárně cílil na uživatele v Japonsku, Jižní Koreji a Kambodži, zatímco FINANS TRADER6 byl dostupný hlavně v Thajsku, Japonsku a na Kypru.
Buďte skeptičtí k neočekávaným zprávám
Uživatelé jsou vyzýváni, aby byli opatrní při klikání na odkazy a aby se vyvarovali reakcí na nevyžádané zprávy od neznámých osob na sociálních sítích a seznamovacích platformách. Před stažením je nezbytné ověřit legitimitu investičních platforem a pečlivě prozkoumat aplikace, včetně jejich vydavatelů, hodnocení a uživatelských recenzí.
Kyberzločinci nadále využívají důvěryhodné platformy, jako je Apple App Store a Google Play, k šíření malwaru maskovaného jako legitimní aplikace a využívají důvěry uživatelů v tato bezpečná prostředí. Oběti jsou přitahovány přísliby rychlých finančních zisků, jen aby zjistily, že nemohou vybrat své prostředky poté, co učiní značné investice. Použití webových aplikací dále zatemňuje nebezpečnou činnost, takže detekce je ještě náročnější.
