UniShadowTrade
En udbredt svindeloperation har brugt forfalskede handelsprogrammer i Apple App Store og Google Play Store sammen med phishing-websteder for at bedrage ofre. Denne ordning er en del af en bredere taktik for svindel med forbrugerinvesteringer, hvor potentielle mål drages ind i investering i kryptovalutaer eller andre finansielle produkter efter at have etableret tillid gennem forstillelse - enten som en romantisk partner eller en investeringsrådgiver.
Disse vildledende og manipulerende taktikker resulterer ofte i, at ofre mister deres investeringer, og i nogle tilfælde kan de blive presset til at betale yderligere gebyrer eller omkostninger. Cybersikkerhedseksperter indikerer, at denne svigagtige kampagne spænder over flere regioner, med ofre rapporteret i Asien-Stillehavet, Europa, Mellemøsten og Afrika. De svigagtige applikationer, udviklet ved hjælp af UniApp Framework, omtales samlet som UniShadowTrade.
Indholdsfortegnelse
Operationen har været aktiv i et stykke tid
Aktivitetsklyngen rapporteres at have været operationel siden mindst midten af 2023, hvilket lokker ofre med usikre applikationer, der lover hurtige økonomiske afkast. En væsentlig bekymring er, at en af disse apps formåede at omgå Apples App Store-gennemgangsproces, hvilket skabte en falsk følelse af legitimitet og tillid. Applikationen, der hedder SBI-INT, er siden blevet fjernet fra markedet, men blev oprindeligt udgjort som software til 'almindelig anvendte algebraiske matematiske formler og beregning af 3D-grafikvolumenareal'.
Det menes, at cyberkriminelle opnåede dette ved at implementere et tjek i applikationens kildekode for at afgøre, om den aktuelle dato og klokkeslæt var før den 22. juli 2024, kl. 00:00:00. Hvis det er tilfældet, vil appen vise en vildledende skærm fyldt med formler og grafik. Efter at appen blev fjernet et par uger efter lanceringen, flyttede trusselsaktørerne efter sigende deres fokus til at distribuere appen gennem phishing-websteder til både Android- og iOS-platforme.
Hvordan disse skadelige applikationer fungerer
For iOS-brugere starter et klik på download-knappen download af en .plist-fil, som beder systemet om at anmode om tilladelse til at installere programmet. Efter at overførslen er afsluttet, kan applikationen dog ikke startes med det samme. Cyberkriminelle instruerer derefter offeret i at stole på Enterprise-udviklerprofilen manuelt. Når dette trin er gennemført, kan den svigagtige applikation aktiveres.
Brugere, der fortsætter med at installere og åbne applikationen, bliver mødt af en login-side, der anmoder om deres telefonnummer og adgangskode. Registreringsprocessen inkluderer indtastning af en invitationskode, der indikerer, at angriberne fokuserer på specifikke mål for at udføre deres taktik.
Efter vellykket registrering går ofrene ind i en seks-trins angrebssekvens. De bliver presset til at indsende identitetsdokumenter som verifikation, personlige oplysninger og aktuelle ansættelsesoplysninger. De bliver derefter bedt om at acceptere tjenestens vilkår og betingelser for at fortsætte med deres investeringer.
Efter at have foretaget en indbetaling giver de cyberkriminelle yderligere instruktioner om, hvilke finansielle instrumenter de skal investere i, og hævder ofte høje potentielle afkast. For at fastholde bedraget bliver applikationen manipuleret til at vise ofrenes investeringer, som om de genererer overskud.
Alvorlige konsekvenser af at falde for taktikken
Der opstår problemer, når ofret forsøger at hæve deres midler, hvorefter de bliver bedt om at betale yderligere gebyrer for at inddrive deres oprindelige investeringer og formodede overskud. I virkeligheden er midlerne blevet indsamlet og omdirigeret til konti kontrolleret af angriberne.
En anden innovativ taktik anvendt af malware-skaberne involverer indlejring af en konfiguration, der specificerer URL'en, der hoster login-siden og andre detaljer om den falske handelsapplikation i applikationen. Denne konfiguration hostes på en URL, der er knyttet til en lovlig tjeneste kaldet TermsFeed, som leverer overholdelsessoftware til generering af privatlivspolitikker, vilkår og betingelser og cookie-samtykkebannere.
Den første identificerede applikation, distribueret gennem Apple App Store, fungerer som en downloader, der blot henter og viser en web-app URL. I modsætning hertil indeholder den anden applikation, hentet fra phishing-websteder, allerede web-appen i sine aktiver.
Forskere bemærker, at denne metode er et strategisk valg af trusselsaktørerne, designet til at reducere sandsynligheden for opdagelse og undgå at udløse alarmer, når appen distribueres via App Store.
Android-brugere var også i fare
Cybersikkerhedseksperter identificerede også en svigagtig aktieinvesteringsapplikation i Google Play Butik ved navn FINANS INSIGHTS (com.finans.insights). En anden applikation forbundet med den samme udvikler, Ueaida Wabi, er FINANS TRADER6 (com.finans.trader).
Selvom begge Android-applikationer i øjeblikket er inaktive i Play Butik, blev de downloadet færre end 5.000 gange. FINANS INSIGHTS henvendte sig primært til brugere i Japan, Sydkorea og Cambodja, mens FINANS TRADER6 primært var tilgængelig i Thailand, Japan og Cypern.
Vær skeptisk over for uventede beskeder
Brugere opfordres til at være forsigtige, når de klikker på links og til at undgå at svare på uopfordrede beskeder fra ukendte personer på sociale medier og datingplatforme. Det er vigtigt at verificere legitimiteten af investeringsplatforme og omhyggeligt at undersøge apps, herunder deres udgivere, vurderinger og brugeranmeldelser, før de downloades.
Cyberkriminelle fortsætter med at udnytte pålidelige platforme som Apple App Store og Google Play til at sprede malware forklædt som legitime applikationer og udnytter brugernes tillid til disse sikre miljøer. Ofre tiltrækkes af løfter om hurtige økonomiske gevinster, blot for at opdage, at de ikke kan trække deres penge tilbage efter at have foretaget betydelige investeringer. Brugen af webbaserede applikationer slører yderligere den usikre aktivitet, hvilket gør detektion endnu mere udfordrende.
