UniShadowTrade
Laialt levinud pettuseoperatsioon on ohvrite petmiseks kasutanud Apple App Store'i ja Google Play Store'i võltsitud kauplemisprogramme ning andmepüügiveebisaite. See skeem on osa laiemast tarbijate investeerimispettuste taktikast, kus potentsiaalsed sihtmärgid tõmmatakse krüptovaluutadesse või muudesse finantstoodetesse investeerimisse pärast usalduse loomist teesklemise teel – kas romantilise partneri või investeerimisnõustajana.
Need petlikud ja manipuleerivad taktikad põhjustavad sageli selle, et ohvrid kaotavad oma investeeringud ja mõnel juhul võidakse neid survestada maksma lisatasusid või -kulusid. Küberjulgeolekueksperdid märgivad, et see petukampaania hõlmab mitut piirkonda ning ohvritest on teatatud Aasia ja Vaikse ookeani piirkonnas, Euroopas, Lähis-Idas ja Aafrikas. UniApp Frameworki abil välja töötatud petturlikke rakendusi nimetatakse ühiselt UniShadowTrade'iks.
Sisukord
Operatsioon on olnud aktiivne juba mõnda aega
Teatavasti on tegevusklaster töötanud vähemalt 2023. aasta keskpaigast, meelitades ohvreid ebaturvaliste rakendustega, mis lubavad kiiret rahalist tulu. Märkimisväärne probleem on see, et üks neist rakendustest suutis Apple'i App Store'i ülevaatusprotsessist mööda minna, luues väära legitiimsuse ja usalduse tunde. Rakendus nimega SBI-INT on vahepeal turult eemaldatud, kuid algselt kujutati see tarkvarana "tavaliselt kasutatavate algebraliste matemaatiliste valemite ja 3D-graafika mahu pindala arvutamiseks".
Arvatakse, et küberkurjategijad saavutasid selle, rakendades rakenduse lähtekoodis kontrolli, et teha kindlaks, kas praegune kuupäev ja kellaaeg on enne 22. juulit 2024 kella 00:00. Kui jah, kuvaks rakendus valemite ja graafikaga täidetud petliku ekraani. Pärast seda, kui rakendus paar nädalat pärast käivitamist maha võeti, keskendusid ohus osalejad väidetavalt rakenduse levitamisele andmepüügi veebisaitide kaudu nii Androidi kui ka iOS-i platvormidel.
Kuidas need kahjulikud rakendused töötavad
iOS-i kasutajate jaoks käivitab allalaadimisnupul klõpsamine .plist-faili allalaadimise, mis palub süsteemil taotleda luba rakenduse installimiseks. Kuid pärast allalaadimise lõppu ei saa rakendust kohe käivitada. Seejärel annavad küberkurjategijad ohvrile korralduse ettevõtte arendajaprofiili käsitsi usaldada. Kui see samm on lõpule viidud, saab petturliku rakenduse aktiveerida.
Kasutajaid, kes jätkavad rakenduse installimist ja avamist, tervitab sisselogimisleht, mis küsib nende telefoninumbrit ja parooli. Registreerimisprotsess hõlmab kutsekoodi sisestamist, mis näitab, et ründajad keskenduvad oma taktika elluviimiseks konkreetsetele sihtmärkidele.
Eduka registreerimise korral sisestavad ohvrid kuueastmelise rünnakujada. Neile avaldatakse survet esitada isikut tõendavad dokumendid, isikuandmed ja praegune tööteave. Seejärel palutakse neil investeeringute jätkamiseks nõustuda teenuse tingimustega.
Pärast sissemakse tegemist annavad küberkurjategijad täiendavaid juhiseid, millistesse finantsinstrumentidesse investeerida, nõudes sageli suurt potentsiaalset tulu. Pettuse põlistamiseks manipuleeritakse rakendust, et näidata ohvrite investeeringuid nii, nagu need teeniksid kasumit.
Taktikale langemise rasked tagajärjed
Probleemid tekivad siis, kui ohver üritab oma raha välja võtta, mille järel palutakse tal maksta lisatasusid, et saada tagasi oma esialgsed investeeringud ja oletatav kasum. Tegelikkuses on raha kogutud ja suunatud kontodele, mida ründajad kontrollisid.
Veel üks uuenduslik taktika, mida pahavara loojad kasutavad, hõlmab konfiguratsiooni manustamist, mis määrab sisselogimislehte majutava URL-i ja muud võltsitud kauplemisrakenduse üksikasjad rakenduses. Seda konfiguratsiooni majutatakse URL-il, mis on lingitud seadusliku teenusega TermsFeed, mis pakub vastavustarkvara privaatsuseeskirjade, nõuete ja tingimuste ning küpsiste nõusolekubännerite loomiseks.
Esimene tuvastatud rakendus, mida levitatakse Apple App Store'i kaudu, toimib allalaadijana, mis lihtsalt hangib ja kuvab veebirakenduse URL-i. Seevastu teine rakendus, mis on saadud andmepüügiveebisaitidelt, sisaldab veebirakendust juba oma varade hulgas.
Teadlased märgivad, et see meetod on ohus osalejate strateegiline valik, mille eesmärk on vähendada avastamise tõenäosust ja vältida häirete käivitamist, kui rakendust levitatakse App Store'i kaudu.
Ka Androidi kasutajad olid ohus
Küberturvalisuse eksperdid tuvastasid Google Play poes ka petturliku aktsiainvesteeringurakenduse nimega FINANS INSIGHTS (com.finans.insights). Teine sama arendaja Ueaida Wabiga seotud rakendus on FINANS TRADER6 (com.finans.trader).
Kuigi mõlemad Androidi rakendused on praegu Play poes passiivsed, laaditi neid alla vähem kui 5000 korda. FINANS INSIGHTS oli peamiselt suunatud Jaapani, Lõuna-Korea ja Kambodža kasutajatele, samas kui FINANS TRADER6 oli peamiselt saadaval Tais, Jaapanis ja Küprosel.
Olge ootamatute sõnumite suhtes skeptiline
Kasutajaid kutsutakse üles olema linkidel klõpsamisel ettevaatlikud ja vältima vastamist võõrastelt isikutelt sotsiaalmeedias ja tutvumisplatvormidel saadetud soovimatutele sõnumitele. Enne allalaadimist on oluline kontrollida investeerimisplatvormide legitiimsust ja hoolikalt uurida rakendusi, sealhulgas nende avaldajaid, reitinguid ja kasutajate arvustusi.
Küberkurjategijad kasutavad jätkuvalt ära usaldusväärseid platvorme, nagu Apple App Store ja Google Play, et levitada legitiimsete rakendustena maskeeritud pahavara, kasutades ära kasutajate usaldust nende turvaliste keskkondade vastu. Ohvreid meelitavad lubadused saada kiiret rahalist kasu, kuid nad avastavad, et nad ei saa pärast märkimisväärseid investeeringuid oma raha välja võtta. Veebipõhiste rakenduste kasutamine varjab veelgi ohtlikke tegevusi, muutes tuvastamise veelgi keerulisemaks.
