UniShadowTrade
Μια εκτεταμένη επιχείρηση απάτης χρησιμοποίησε προγράμματα πλαστών εμπορικών συναλλαγών στο Apple App Store και στο Google Play Store, μαζί με ιστότοπους ηλεκτρονικού ψαρέματος, για να εξαπατήσει τα θύματα. Αυτό το σχέδιο είναι μέρος μιας ευρύτερης τακτικής απάτης στις επενδύσεις των καταναλωτών, όπου οι πιθανοί στόχοι στρέφονται σε επενδύσεις σε κρυπτονομίσματα ή άλλα χρηματοοικονομικά προϊόντα μετά την εδραίωση εμπιστοσύνης μέσω προσποίησης - είτε ως ρομαντικός συνεργάτης είτε ως σύμβουλος επενδύσεων.
Αυτές οι παραπλανητικές και χειραγωγικές τακτικές έχουν συχνά ως αποτέλεσμα τα θύματα να χάσουν τις επενδύσεις τους και σε ορισμένες περιπτώσεις μπορεί να πιεστούν να πληρώσουν πρόσθετα τέλη ή έξοδα. Οι ειδικοί στον τομέα της κυβερνοασφάλειας αναφέρουν ότι αυτή η δόλια εκστρατεία εκτείνεται σε πολλές περιοχές, με θύματα να αναφέρονται στην Ασία-Ειρηνικό, την Ευρώπη, τη Μέση Ανατολή και την Αφρική. Οι δόλιες εφαρμογές, που αναπτύχθηκαν χρησιμοποιώντας το UniApp Framework, αναφέρονται συλλογικά ως UniShadowTrade.
Πίνακας περιεχομένων
Η λειτουργία ήταν ενεργή εδώ και αρκετό καιρό
Το σύμπλεγμα δραστηριοτήτων αναφέρεται ότι λειτουργούσε τουλάχιστον από τα μέσα του 2023, προσελκύοντας τα θύματα με μη ασφαλείς εφαρμογές που υπόσχονται γρήγορες οικονομικές αποδόσεις. Μια σημαντική ανησυχία είναι ότι μία από αυτές τις εφαρμογές κατάφερε να παρακάμψει τη διαδικασία ελέγχου του App Store της Apple, δημιουργώντας μια ψευδή αίσθηση νομιμότητας και εμπιστοσύνης. Η εφαρμογή, με το όνομα SBI-INT, έχει αφαιρεθεί από την αγορά, αλλά αρχικά παρουσιάστηκε ως λογισμικό για «κοινώς χρησιμοποιούμενους αλγεβρικούς μαθηματικούς τύπους και υπολογισμό εμβαδού όγκου γραφικών 3D».
Πιστεύεται ότι οι εγκληματίες του κυβερνοχώρου το πέτυχαν πραγματοποιώντας έναν έλεγχο στον πηγαίο κώδικα της εφαρμογής για να προσδιορίσουν εάν η τρέχουσα ημερομηνία και ώρα ήταν πριν από τις 22 Ιουλίου 2024, 00:00:00. Αν ναι, η εφαρμογή θα εμφανίσει μια παραπλανητική οθόνη γεμάτη τύπους και γραφικά. Μετά την κατάργηση της εφαρμογής λίγες εβδομάδες μετά την κυκλοφορία, οι παράγοντες της απειλής φέρεται να μετατόπισαν την εστίασή τους στη διανομή της εφαρμογής μέσω ιστοτόπων ηλεκτρονικού ψαρέματος για πλατφόρμες Android και iOS.
Πώς λειτουργούν αυτές οι επιβλαβείς εφαρμογές
Για χρήστες iOS, κάνοντας κλικ στο κουμπί λήψης ξεκινά η λήψη ενός αρχείου .plist, το οποίο ζητά από το σύστημα να ζητήσει άδεια εγκατάστασης της εφαρμογής. Ωστόσο, μετά την ολοκλήρωση της λήψης, η εφαρμογή δεν μπορεί να ξεκινήσει αμέσως. Στη συνέχεια, οι εγκληματίες του κυβερνοχώρου δίνουν οδηγίες στο θύμα να εμπιστευτεί το προφίλ προγραμματιστή Enterprise με μη αυτόματο τρόπο. Μόλις ολοκληρωθεί αυτό το βήμα, η δόλια εφαρμογή μπορεί να ενεργοποιηθεί.
Οι χρήστες που προχωρούν στην εγκατάσταση και το άνοιγμα της εφαρμογής καλωσορίζονται από μια σελίδα σύνδεσης που ζητά τον αριθμό τηλεφώνου και τον κωδικό πρόσβασής τους. Η διαδικασία εγγραφής περιλαμβάνει την εισαγωγή ενός κωδικού πρόσκλησης, που υποδεικνύει ότι οι επιτιθέμενοι εστιάζουν σε συγκεκριμένους στόχους για να εκτελέσουν την τακτική τους.
Μετά την επιτυχή εγγραφή, τα θύματα εισέρχονται σε μια ακολουθία επίθεσης έξι βημάτων. Πιέζονται να υποβάλουν έγγραφα ταυτότητας ως επαλήθευση, προσωπικά στοιχεία και τρέχουσες πληροφορίες απασχόλησης. Στη συνέχεια, καλούνται να συμφωνήσουν με τους όρους και τις προϋποθέσεις της υπηρεσίας για να προχωρήσουν στις επενδύσεις τους.
Μετά την πραγματοποίηση μιας κατάθεσης, οι εγκληματίες του κυβερνοχώρου παρέχουν πρόσθετες οδηγίες σε ποια χρηματοοικονομικά μέσα να επενδύσουν, συχνά ισχυριζόμενοι υψηλές πιθανές αποδόσεις. Για να διαιωνιστεί η εξαπάτηση, η εφαρμογή χειραγωγείται για να εμφανίζει τις επενδύσεις των θυμάτων σαν να παράγουν κέρδη.
Σοβαρές συνέπειες της πτώσης στην τακτική
Προβλήματα προκύπτουν όταν το θύμα προσπαθεί να αποσύρει τα κεφάλαιά του, οπότε του ζητείται να πληρώσει πρόσθετα τέλη για να ανακτήσει τις αρχικές του επενδύσεις και τα υποτιθέμενα κέρδη. Στην πραγματικότητα, τα κεφάλαια έχουν συγκεντρωθεί και ανακατευθυνθεί σε λογαριασμούς που ελέγχονται από τους επιτιθέμενους.
Μια άλλη καινοτόμος τακτική που χρησιμοποιούν οι δημιουργοί κακόβουλου λογισμικού περιλαμβάνει την ενσωμάτωση μιας διαμόρφωσης που καθορίζει τη διεύθυνση URL που φιλοξενεί τη σελίδα σύνδεσης και άλλες λεπτομέρειες της ψεύτικης εφαρμογής συναλλαγών εντός της εφαρμογής. Αυτή η διαμόρφωση φιλοξενείται σε μια διεύθυνση URL που συνδέεται με μια νόμιμη υπηρεσία που ονομάζεται TermsFeed, η οποία παρέχει λογισμικό συμμόρφωσης για τη δημιουργία πολιτικών απορρήτου, όρων και προϋποθέσεων και banner συναίνεσης cookie.
Η πρώτη εφαρμογή που εντοπίστηκε, που διανέμεται μέσω του Apple App Store, λειτουργεί ως πρόγραμμα λήψης που απλώς ανακτά και εμφανίζει μια διεύθυνση URL εφαρμογής Ιστού. Αντίθετα, η δεύτερη εφαρμογή, που λαμβάνεται από ιστότοπους ηλεκτρονικού ψαρέματος, περιέχει ήδη την εφαρμογή Ιστού στα περιουσιακά της στοιχεία.
Οι ερευνητές σημειώνουν ότι αυτή η μέθοδος είναι μια στρατηγική επιλογή από τους φορείς απειλών, σχεδιασμένη για να μειώνει την πιθανότητα εντοπισμού και να αποφεύγει την ενεργοποίηση συναγερμών όταν η εφαρμογή διανέμεται μέσω του App Store.
Οι χρήστες Android ήταν επίσης σε κίνδυνο
Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν επίσης μια δόλια εφαρμογή επένδυσης μετοχών στο Google Play Store με το όνομα FINANS INSIGHTS (com.finans.insights). Μια άλλη εφαρμογή που σχετίζεται με τον ίδιο προγραμματιστή, την Ueaida Wabi, είναι η FINANS TRADER6 (com.finans.trader).
Παρόλο που και οι δύο εφαρμογές Android είναι επί του παρόντος ανενεργές στο Play Store, κατέβηκαν λιγότερες από 5.000 φορές. Το FINANS INSIGHTS στόχευε κυρίως χρήστες στην Ιαπωνία, τη Νότια Κορέα και την Καμπότζη, ενώ το FINANS TRADER6 ήταν κυρίως διαθέσιμο στην Ταϊλάνδη, την Ιαπωνία και την Κύπρο.
Να είστε δύσπιστοι απέναντι στα απροσδόκητα μηνύματα
Οι χρήστες καλούνται να είναι προσεκτικοί όταν κάνουν κλικ σε συνδέσμους και να αποφεύγουν να απαντούν σε ανεπιθύμητα μηνύματα από άγνωστα άτομα στα μέσα κοινωνικής δικτύωσης και στις πλατφόρμες γνωριμιών. Είναι σημαντικό να επαληθεύσετε τη νομιμότητα των επενδυτικών πλατφορμών και να εξετάσετε προσεκτικά τις εφαρμογές, συμπεριλαμβανομένων των εκδοτών, των αξιολογήσεων και των κριτικών χρηστών τους, πριν από τη λήψη.
Οι εγκληματίες του κυβερνοχώρου συνεχίζουν να εκμεταλλεύονται αξιόπιστες πλατφόρμες όπως το Apple App Store και το Google Play για να διαδώσουν κακόβουλο λογισμικό μεταμφιεσμένο ως νόμιμες εφαρμογές, εκμεταλλευόμενοι την εμπιστοσύνη των χρηστών σε αυτά τα ασφαλή περιβάλλοντα. Τα θύματα προσελκύονται από υποσχέσεις για γρήγορα οικονομικά κέρδη, μόνο για να ανακαλύψουν ότι δεν μπορούν να αποσύρουν τα κεφάλαιά τους μετά από σημαντικές επενδύσεις. Η χρήση εφαρμογών που βασίζονται στο Web αποκρύπτει περαιτέρω την μη ασφαλή δραστηριότητα, καθιστώντας τον εντοπισμό ακόμη πιο δύσκολο.
