הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) UniShadowTrade

UniShadowTrade

עד Mezo ב-איום מתמשך מתקדם (APT), פישינג
לתרגם ל:
עברית

מבצע הונאה נרחב השתמש בתוכניות מסחר מזויפות ב-Apple App Store וב-Google Play Store, יחד עם אתרי דיוג, כדי להונות קורבנות. תכנית זו היא חלק מטקטיקה רחבה יותר של הונאה בהשקעות צרכניות, שבה יעדים פוטנציאליים נמשכים להשקעה במטבעות קריפטוגרפיים או במוצרים פיננסיים אחרים לאחר ביסוס אמון באמצעות העמדת פנים - בין אם כשותף רומנטי או כיועץ השקעות.

טקטיקות מטעות ומניפולטיביות אלו גורמות לעתים קרובות לקורבנות לאבד את ההשקעות שלהם, ובמקרים מסוימים, הם עשויים להילחץ לשלם עמלות או עלויות נוספות. מומחי אבטחת סייבר מציינים כי מסע הונאה זה משתרע על פני מספר אזורים, כאשר הקורבנות מדווחים באסיה-האוקיינוס השקט, באירופה, במזרח התיכון ובאפריקה. יישומי ההונאה, שפותחו באמצעות UniApp Framework, מכונים ביחד UniShadowTrade.

המבצע פעיל כבר זמן מה

מדווחים כי אשכול הפעילות פעל לפחות מאמצע 2023, ומפתה קורבנות עם יישומים לא בטוחים המבטיחים החזר כספי מהיר. דאגה משמעותית היא שאחת מהאפליקציות הללו הצליחה לעקוף את תהליך הסקירה של ה-App Store של אפל, ויצרה תחושה כוזבת של לגיטימיות ואמון. האפליקציה, ששמה SBI-INT, הוסרה מאז מהשוק, אך תחילה הוצגה כתוכנה ל"נוסחאות מתמטיות אלגבריות בשימוש נפוץ וחישוב שטח שטחי גרפיקה תלת-ממדית".

על פי ההערכות, פושעי הסייבר השיגו זאת על ידי הטמעת בדיקה בתוך קוד המקור של האפליקציה כדי לקבוע אם התאריך והשעה הנוכחיים היו לפני 22 ביולי 2024, 00:00:00. אם כן, האפליקציה תציג מסך מטעה מלא בנוסחאות וגרפיקה. לאחר הסרת האפליקציה מספר שבועות לאחר ההשקה, לפי הדיווחים, שחקני האיומים העבירו את המיקוד שלהם להפצת האפליקציה דרך אתרי פישינג עבור פלטפורמות אנדרואיד ו-iOS כאחד.

כיצד יישומים מזיקים אלה פועלים

עבור משתמשי iOS, לחיצה על כפתור ההורדה מתחילה הורדה של קובץ .plist, מה שמבקש מהמערכת לבקש הרשאה להתקנת האפליקציה. עם זאת, לאחר סיום ההורדה, לא ניתן להפעיל את האפליקציה באופן מיידי. לאחר מכן, פושעי סייבר מורים לקורבן לסמוך על פרופיל מפתח Enterprise באופן ידני. לאחר השלמת שלב זה, ניתן להפעיל את יישום ההונאה.

משתמשים שממשיכים להתקין ולפתוח את האפליקציה מתקבלים בדף התחברות המבקש את מספר הטלפון והסיסמה שלהם. תהליך הרישום כולל הזנת קוד הזמנה, המציין שהתוקפים מתמקדים במטרות ספציפיות כדי לבצע את הטקטיקה שלהם.

לאחר רישום מוצלח, הקורבנות נכנסים לרצף תקיפה בן שישה שלבים. הם נלחצים להגיש מסמכי זהות כאימות, פרטים אישיים ומידע תעסוקתי עדכני. לאחר מכן הם מתבקשים להסכים לתנאים וההגבלות של השירות כדי להמשיך בהשקעותיהם.

לאחר ביצוע הפקדה, פושעי הסייבר מספקים הנחיות נוספות באילו מכשירים פיננסיים להשקיע, ולעיתים קרובות תובעים תשואה פוטנציאלית גבוהה. כדי להנציח את ההטעיה, האפליקציה עוברת מניפולציות כדי להציג את ההשקעות של הקורבנות כאילו הן מניבות רווחים.

השלכות חמורות של נפילה לטקטיקה

בעיות מתעוררות כאשר הקורבן מנסה למשוך את כספיו, ובשלב זה הם מתבקשים לשלם עמלות נוספות כדי לשחזר את ההשקעות הראשוניות והרווחים האמורים. למעשה, הכספים נאספו והועברו לחשבונות שבשליטת התוקפים.

טקטיקה חדשנית נוספת בה נוקטים יוצרי התוכנה הזדונית כוללת הטמעת תצורה המציינת את כתובת האתר המארח את דף הכניסה ופרטים אחרים של אפליקציית המסחר המזויף בתוך האפליקציה. תצורה זו מתארחת בכתובת אתר המקושרת לשירות לגיטימי בשם TermsFeed, המספק תוכנת תאימות להפקת מדיניות פרטיות, תנאים והגבלות ובאנרים של הסכמה לקובצי Cookie.

האפליקציה הראשונה שזוהתה, מופצת דרך Apple App Store, מתפקדת בתור הורדה שרק מאחזר ומציג כתובת URL של אפליקציית אינטרנט. לעומת זאת, האפליקציה השנייה, המתקבלת מאתרי פישינג, כבר מכילה את אפליקציית האינטרנט בנכסיה.

החוקרים מציינים ששיטה זו היא בחירה אסטרטגית של גורמי האיום, שנועדה להפחית את הסבירות לזיהוי ולהימנע מהפעלת אזעקות כאשר האפליקציה מופצת דרך ה-App Store.

גם משתמשי אנדרואיד היו בסיכון

מומחי אבטחת סייבר זיהו גם יישום הונאה להשקעה במניות בחנות Google Play בשם FINANS INSIGHTS (com.finans.insights). אפליקציה נוספת הקשורה לאותו מפתח, Ueaida Wabi, היא FINANS TRADER6 (com.finans.trader).

למרות ששתי יישומי האנדרואיד אינם פעילים כעת בחנות Play, הם הורדו פחות מ-5,000 פעמים. FINANS INSIGHTS התמקדה בעיקר במשתמשים ביפן, דרום קוריאה וקמבודיה, בעוד ש-FINANS TRADER6 היה זמין בעיקר בתאילנד, יפן וקפריסין.

היו סקפטיים להודעות בלתי צפויות

קוראים למשתמשים להיות זהירים בעת לחיצה על קישורים ולהימנע מלהגיב להודעות לא רצויות מאנשים לא מוכרים במדיה חברתית ובפלטפורמות היכרויות. חיוני לאמת את הלגיטימיות של פלטפורמות השקעה ולבחון בקפידה אפליקציות, כולל המפרסמים שלהן, דירוגים וביקורות משתמשים, לפני ההורדה.

פושעי סייבר ממשיכים לנצל פלטפורמות מהימנות כמו Apple App Store ו-Google Play כדי להפיץ תוכנות זדוניות המחופשות ליישומים לגיטימיים, תוך ניצול אמון המשתמשים בסביבות מאובטחות אלו. קורבנות נמשכים על ידי הבטחות לרווחים כספיים מהירים, רק כדי לגלות שהם לא יכולים למשוך את הכספים שלהם לאחר ביצוע השקעות משמעותיות. השימוש ביישומים מבוססי אינטרנט מטשטש עוד יותר את הפעילות הלא בטוחה, מה שהופך את הזיהוי למאתגר עוד יותר.

מגמות

Raptor Train Botnet

Botnets
חוקרי אבטחת סייבר זיהו רשת בוט חדשה המורכבת ממכשירי משרד קטן/משרד ביתי (SOHO) ומכשירי אינטרנט של הדברים (IoT) שנפגעו. מאמינים כי הבוטנט הזה נשלט על ידי קבוצת איומים של מדינת לאום סינית הידועה בשם Flax Typhoon, המכונה גם פנדה אתרית או רד ג'וליט. החוקרים כינו את הבוטנט בשם 'רכבת ראפטור'. הוא פעיל לפחות מאז מאי 2020 והגיע לשיא של 60,000 מכשירים שנפרצו עד יוני 2023. עד כה, למעלה...

McAfee - המחשב שלך נגוע ב-5 וירוסים! הונאת פופ-אפ

אתרים נוכלים, תוכנות פרסום, הודעות אזהרה מזויפות
איומי סייבר מתפתחים במהירות, ורמאים תמיד מציעים דרכים חדשות להונות משתמשים. אחת הטקטיקות הנפוצות ביותר כוללת מניפולציה של אנשים להאמין שהמכשירים שלהם נגועים בתוכנה זדונית. טקטיקה זו טורפת פחד...

הכי נצפה

הונאת דוא"ל 'Gek Squad'

פישינג, ספאם
37,281
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...