UniShadowTrade

یک عملیات کلاهبرداری گسترده از برنامه های تجارت تقلبی در فروشگاه اپل اپ استور و گوگل پلی استور به همراه وب سایت های فیشینگ برای فریب قربانیان استفاده کرده است. این طرح بخشی از یک تاکتیک گسترده‌تر کلاهبرداری سرمایه‌گذاری مصرف‌کننده است، که در آن پس از ایجاد اعتماد از طریق تظاهر - چه به عنوان یک شریک عاشقانه یا یک مشاور سرمایه‌گذاری، اهداف بالقوه به سمت سرمایه‌گذاری در ارزهای دیجیتال یا سایر محصولات مالی کشیده می‌شوند.

این تاکتیک‌های فریبنده و دستکاری اغلب منجر به از دست دادن سرمایه‌گذاری‌های قربانیان می‌شود و در برخی موارد ممکن است برای پرداخت هزینه‌ها یا هزینه‌های اضافی تحت فشار قرار گیرند. کارشناسان امنیت سایبری نشان می‌دهند که این کمپین تقلبی چندین منطقه را در بر می‌گیرد و قربانیان آن در آسیا-اقیانوسیه، اروپا، خاورمیانه و آفریقا گزارش شده است. برنامه های کاربردی تقلبی که با استفاده از UniApp Framework توسعه یافته اند، در مجموع به عنوان UniShadowTrade نامیده می شوند.

این عملیات برای مدتی فعال بوده است

گزارش شده است که این خوشه فعالیت حداقل از اواسط سال 2023 عملیاتی شده است و قربانیان را با برنامه های کاربردی ناامن که وعده بازده مالی سریع را می دهند، جذب می کند. یکی از نگرانی‌های مهم این است که یکی از این برنامه‌ها توانسته است روند بررسی App Store اپل را دور بزند و حس مشروعیت و اعتماد نادرستی ایجاد کند. این اپلیکیشن که SBI-INT نام داشت، از آن زمان از بازار حذف شد، اما در ابتدا به عنوان نرم افزاری برای «فرمول های ریاضی جبری رایج و محاسبه حجم گرافیک سه بعدی» معرفی شد.

اعتقاد بر این است که مجرمان سایبری با اجرای یک بررسی در کد منبع برنامه برای تعیین اینکه آیا تاریخ و زمان فعلی قبل از 22 ژوئیه 2024، 00:00:00 بوده است، به این امر دست یافته اند. اگر چنین است، برنامه یک صفحه فریبنده پر از فرمول ها و گرافیک ها را نمایش می دهد. پس از حذف اپلیکیشن چند هفته پس از راه‌اندازی، ظاهرا عوامل تهدید تمرکز خود را به توزیع برنامه از طریق وب‌سایت‌های فیشینگ برای هر دو پلتفرم اندروید و iOS معطوف کردند.

نحوه عملکرد این برنامه های مضر

برای کاربران iOS، کلیک کردن بر روی دکمه دانلود، دانلود فایل plist. را آغاز می‌کند، که از سیستم می‌خواهد مجوز نصب برنامه را درخواست کند. با این حال، پس از پایان دانلود، برنامه نمی تواند بلافاصله راه اندازی شود. مجرمان سایبری سپس به قربانی دستور می دهند که به صورت دستی به نمایه توسعه دهنده Enterprise اعتماد کند. پس از تکمیل این مرحله، برنامه تقلبی را می توان فعال کرد.

کاربرانی که اقدام به نصب و باز کردن برنامه می کنند با صفحه ورود به سیستم مواجه می شوند که شماره تلفن و رمز عبور آنها را درخواست می کند. فرآیند ثبت نام شامل وارد کردن کد دعوت است که نشان می دهد مهاجمان برای اجرای تاکتیک خود بر روی اهداف خاصی تمرکز می کنند.

پس از ثبت نام موفقیت آمیز، قربانیان وارد یک توالی حمله شش مرحله ای می شوند. آنها تحت فشار قرار می گیرند تا اسناد هویتی را به عنوان تأیید، مشخصات شخصی و اطلاعات شغلی فعلی ارائه دهند. سپس از آنها خواسته می شود که با شرایط و ضوابط سرویس موافقت کنند تا سرمایه گذاری خود را ادامه دهند.

پس از سپرده گذاری، مجرمان سایبری دستورالعمل های اضافی را در مورد ابزارهای مالی برای سرمایه گذاری ارائه می دهند که اغلب ادعا می کنند بازده بالقوه بالایی دارند. برای تداوم فریب، برنامه دستکاری می شود تا سرمایه گذاری های قربانیان را به گونه ای نمایش دهد که گویی آنها در حال تولید سود هستند.

عواقب شدید سقوط برای تاکتیک

زمانی که قربانی تلاش می کند وجوه خود را برداشت کند، مشکلات ایجاد می شود، در این مرحله از آنها خواسته می شود هزینه های اضافی را برای بازیابی سرمایه گذاری های اولیه و سود فرضی خود بپردازند. در واقع، وجوه جمع آوری شده و به حساب های کنترل شده توسط مهاجمان هدایت شده است.

یکی دیگر از تاکتیک‌های ابتکاری که توسط سازندگان بدافزار به کار می‌رود، شامل تعبیه پیکربندی است که URL میزبان صفحه ورود و سایر جزئیات برنامه تجارت جعلی را در برنامه مشخص می‌کند. این پیکربندی بر روی یک URL متصل به سرویس قانونی به نام TermsFeed میزبانی می‌شود که نرم‌افزار انطباق را برای ایجاد خط‌مشی‌های رازداری، شرایط و ضوابط و آگهی‌های رضایت کوکی ارائه می‌کند.

اولین برنامه شناسایی شده، که از طریق فروشگاه App Apple توزیع شده است، به عنوان یک دانلود کننده عمل می کند که صرفاً URL برنامه وب را بازیابی و نمایش می دهد. در مقابل، برنامه دوم که از وب‌سایت‌های فیشینگ به دست آمده است، قبلاً برنامه وب را در دارایی‌های خود دارد.

محققان خاطرنشان می کنند که این روش یک انتخاب استراتژیک توسط عوامل تهدید است که برای کاهش احتمال شناسایی و جلوگیری از ایجاد هشدار هنگام توزیع برنامه از طریق فروشگاه App طراحی شده است.

کاربران اندروید نیز در معرض خطر بودند

کارشناسان امنیت سایبری همچنین یک برنامه سرمایه گذاری سهام تقلبی را در فروشگاه Google Play به نام FINANS INSIGHTS (com.finans.insights) شناسایی کردند. یکی دیگر از برنامه های مرتبط با همان توسعه دهنده، Ueaida Wabi، FINANS TRADER6 (com.finans.trader) است.

اگرچه هر دو برنامه اندروید در حال حاضر در پلی استور غیرفعال هستند، اما کمتر از 5000 بار دانلود شده اند. FINANS INSIGHTS در درجه اول کاربران ژاپن، کره جنوبی و کامبوج را هدف قرار داد، در حالی که FINANS TRADER6 عمدتاً در تایلند، ژاپن و قبرس در دسترس بود.

نسبت به پیام های غیرمنتظره شک داشته باشید

از کاربران خواسته می‌شود هنگام کلیک بر روی پیوندها مراقب باشند و از پاسخ به پیام‌های ناخواسته افراد ناآشنا در رسانه‌های اجتماعی و پلتفرم‌های دوستیابی خودداری کنند. بررسی مشروعیت پلتفرم های سرمایه گذاری و بررسی دقیق برنامه ها، از جمله ناشران، رتبه بندی ها و نظرات کاربران، قبل از دانلود ضروری است.

مجرمان سایبری به سوء استفاده از پلتفرم های قابل اعتماد مانند فروشگاه اپل اپ استور و گوگل پلی برای گسترش بدافزارهای پنهان شده به عنوان برنامه های کاربردی قانونی ادامه می دهند و از اعتماد کاربران به این محیط های امن بهره می برند. قربانیان با وعده‌های سود مالی سریع جذب می‌شوند، اما متوجه می‌شوند که پس از سرمایه‌گذاری قابل توجه نمی‌توانند وجوه خود را برداشت کنند. استفاده از برنامه های کاربردی مبتنی بر وب، فعالیت های ناامن را بیشتر پنهان می کند و تشخیص را حتی چالش برانگیزتر می کند.