UniShadowTrade
Laaja huijausoperaatio on käyttänyt väärennöskauppaohjelmia Apple App Storessa ja Google Play Storessa sekä tietojenkalastelusivustoja uhrien huijaamiseen. Tämä järjestelmä on osa laajempaa kuluttajasijoituspetostaktiikkaa, jossa mahdolliset kohteet vedetään kryptovaluuttoihin tai muihin rahoitustuotteisiin sijoittamiseen sen jälkeen, kun luottamus on syntynyt teeskentelemällä – joko romanttisena kumppanina tai sijoitusneuvojana.
Nämä petolliset ja manipuloivat taktiikat johtavat usein siihen, että uhrit menettävät sijoituksensa, ja joissakin tapauksissa heitä voidaan painostaa maksamaan ylimääräisiä maksuja tai kuluja. Kyberturvallisuusasiantuntijat osoittavat, että tämä petollinen kampanja kattaa useita alueita, ja uhreja on raportoitu Aasian ja Tyynenmeren alueella, Euroopassa, Lähi-idässä ja Afrikassa. UniApp Frameworkin avulla kehitettyjä vilpillisiä sovelluksia kutsutaan yhteisnimellä UniShadowTrade.
Sisällysluettelo
Operaatio on ollut aktiivinen jo jonkin aikaa
Aktiviteettiklusterin on raportoitu olleen toiminnassa ainakin vuoden 2023 puolivälistä lähtien ja houkutellut uhreja vaarallisilla sovelluksilla, jotka lupaavat nopeaa taloudellista tuottoa. Merkittävä huolenaihe on, että yksi näistä sovelluksista onnistui ohittamaan Applen App Storen tarkistusprosessin ja loi väärän tunteen legitiimiydestä ja luottamuksesta. SBI-INT-niminen sovellus on sittemmin poistettu markkinoilta, mutta se toimi alun perin ohjelmistona "yleisesti käytettyihin algebrallisiin matemaattisiin kaavoihin ja 3D-grafiikan tilavuusalueen laskemiseen".
Uskotaan, että kyberrikolliset saavuttivat tämän suorittamalla tarkistuksen sovelluksen lähdekoodissa sen määrittämiseksi, olivatko nykyinen päivämäärä ja aika ennen 22. heinäkuuta 2024 klo 00.00.00. Jos näin on, sovellus näyttäisi petollisen näytön, joka on täynnä kaavoja ja grafiikkaa. Sen jälkeen, kun sovellus poistettiin muutama viikko julkaisun jälkeen, uhkatekijöiden kerrotaan siirtäneen keskittymisensä sovelluksen jakeluun tietojenkalastelusivustojen kautta sekä Android- että iOS-alustoilla.
Kuinka nämä haitalliset sovellukset toimivat
iOS-käyttäjille latauspainikkeen napsauttaminen käynnistää .plist-tiedoston latauksen, joka kehottaa järjestelmää pyytämään lupaa sovelluksen asentamiseen. Latauksen jälkeen sovellusta ei kuitenkaan voida käynnistää välittömästi. Kyberrikolliset neuvovat sitten uhria luottamaan Enterprise-kehittäjäprofiiliin manuaalisesti. Kun tämä vaihe on suoritettu, vilpillinen sovellus voidaan aktivoida.
Käyttäjiä, jotka jatkavat sovelluksen asentamista ja avaamista, tervehtivät sisäänkirjautumissivu, joka pyytää heidän puhelinnumeroaan ja salasanaansa. Rekisteröintiprosessi sisältää kutsukoodin syöttämisen, joka osoittaa, että hyökkääjät keskittyvät tiettyihin kohteisiin toteuttaakseen taktiikkaansa.
Onnistuneen rekisteröinnin jälkeen uhrit siirtyvät kuusivaiheiseen hyökkäyssarjaan. Heitä painostetaan toimittamaan henkilöllisyystodistuksia, henkilötietoja ja ajankohtaisia työtietoja. Tämän jälkeen heitä pyydetään hyväksymään palvelun ehdot jatkaakseen investointejaan.
Talletuksen tekemisen jälkeen kyberrikolliset antavat lisäohjeita siitä, mihin rahoitusvälineisiin kannattaa sijoittaa, vaatien usein korkeita tuottopotentiaalia. Petoksen jatkamiseksi sovellusta manipuloidaan näyttämään uhrien sijoitukset ikään kuin ne tuottaisivat voittoa.
Taktiikkaan lankeamisen vakavat seuraukset
Ongelmia syntyy, kun uhri yrittää nostaa varojaan, jolloin häntä kehotetaan maksamaan lisämaksuja alkuperäisten investointien ja oletettujen voittojensa takaisin saamiseksi. Todellisuudessa varat on kerätty ja ohjattu hyökkääjien hallitsemille tileille.
Toinen haittaohjelmien tekijöiden käyttämä innovatiivinen taktiikka on upottaa konfiguraatio, joka määrittää sisäänkirjautumissivun URL-osoitteen ja muut väärennetyn kaupankäyntisovelluksen tiedot sovelluksessa. Tätä kokoonpanoa isännöidään URL-osoitteessa, joka on linkitetty lailliseen TermsFeed-palveluun, joka tarjoaa vaatimustenmukaisuusohjelmiston tietosuojakäytäntöjen, ehtojen ja evästeiden suostumusbannerien luomiseen.
Ensimmäinen tunnistettu sovellus, jota jaetaan Apple App Storen kautta, toimii latausohjelmana, joka vain hakee ja näyttää verkkosovelluksen URL-osoitteen. Sitä vastoin toinen sovellus, joka on hankittu tietojenkalastelusivustoilta, sisältää jo verkkosovelluksen resursseihinsa.
Tutkijat huomauttavat, että tämä menetelmä on uhkatoimijoiden strateginen valinta, ja se on suunniteltu vähentämään havaitsemisen todennäköisyyttä ja välttämään hälytyksiä, kun sovellusta jaetaan App Storen kautta.
Myös Android-käyttäjät olivat vaarassa
Kyberturvallisuusasiantuntijat havaitsivat myös Google Play Kaupasta vilpillisen osakesijoitussovelluksen nimeltä FINANS INSIGHTS (com.finans.insights). Toinen samaan kehittäjään, Ueaida Wabiin, liittyvä sovellus on FINANS TRADER6 (com.finans.trader).
Vaikka molemmat Android-sovellukset ovat tällä hetkellä passiivisia Play Kaupassa, niitä on ladattu alle 5 000 kertaa. FINANS INSIGHTS oli ensisijaisesti suunnattu käyttäjille Japanissa, Etelä-Koreassa ja Kambodžassa, kun taas FINANS TRADER6 oli saatavilla pääasiassa Thaimaassa, Japanissa ja Kyproksella.
Suhtaudu skeptisesti odottamattomiin viesteihin
Käyttäjiä kehotetaan olemaan varovaisia napsauttaessaan linkkejä ja välttämään vastaamista viesteihin, joita ei-toivottu sosiaalisessa mediassa ja treffialustoilla. On tärkeää varmistaa sijoitusalustojen laillisuus ja tutkia sovellukset, mukaan lukien niiden julkaisijat, luokitukset ja käyttäjien arvostelut, huolellisesti ennen lataamista.
Kyberrikolliset jatkavat luotettujen alustojen, kuten Apple App Storen ja Google Playn, hyödyntämistä levittääkseen laillisiksi sovelluksiksi naamioituja haittaohjelmia hyödyntäen käyttäjien luottamusta näihin turvallisiin ympäristöihin. Uhreja houkuttelevat lupaukset nopeista taloudellisista voitoista, mutta he huomaavat, etteivät he voi nostaa varojaan tehtyään huomattavia investointeja. Web-pohjaisten sovellusten käyttö hämärtää edelleen vaarallista toimintaa, mikä tekee havaitsemisesta entistä haastavampaa.
