UniShadowTrade
Široko rasprostranjena operacija prijevare koristila je programe trgovanja krivotvorinama na Apple App Storeu i Google Play Storeu, zajedno s web-mjestima za krađu identiteta, kako bi prevarila žrtve. Ova je shema dio šire taktike prijevare ulaganja potrošača, gdje se potencijalne mete uvlače u ulaganje u kriptovalute ili druge financijske proizvode nakon što steknu povjerenje pretvaranjem — bilo kao romantični partner ili investicijski savjetnik.
Ove prijevarne i manipulativne taktike često dovode do toga da žrtve izgube svoja ulaganja, au nekim slučajevima mogu biti prisiljene platiti dodatne naknade ili troškove. Stručnjaci za kibernetičku sigurnost navode da ova prijevarna kampanja obuhvaća više regija, a žrtve su prijavljene u azijsko-pacifičkom području, Europi, Bliskom istoku i Africi. Lažne aplikacije, razvijene korištenjem UniApp Frameworka, zajednički se nazivaju UniShadowTrade.
Sadržaj
Operacija je aktivna već duže vrijeme
Prijavljeno je da je klaster aktivnosti operativan barem od sredine 2023., mameći žrtve nesigurnim aplikacijama koje obećavaju brze financijske povrate. Značajna zabrinutost je da je jedna od ovih aplikacija uspjela zaobići Appleov proces pregleda App Storea, stvarajući lažni osjećaj legitimnosti i povjerenja. Aplikacija, nazvana SBI-INT, u međuvremenu je uklonjena s tržišta, ali je u početku predstavljala softver za 'često korištene algebarske matematičke formule i izračun volumena 3D grafike.'
Vjeruje se da su kibernetički kriminalci to postigli provedbom provjere unutar izvornog koda aplikacije kako bi utvrdili jesu li trenutni datum i vrijeme bili prije 22. srpnja 2024., 00:00:00. Ako je tako, aplikacija bi prikazala obmanjujući zaslon ispunjen formulama i grafikama. Nakon što je aplikacija uklonjena nekoliko tjedana nakon lansiranja, akteri prijetnji su navodno prebacili svoj fokus na distribuciju aplikacije putem phishing web stranica za Android i iOS platforme.
Kako te štetne aplikacije rade
Za korisnike iOS-a, klikom na gumb za preuzimanje pokreće se preuzimanje .plist datoteke, što od sustava traži dopuštenje za instalaciju aplikacije. Međutim, nakon što je preuzimanje završeno, aplikacija se ne može odmah pokrenuti. Cyber-kriminalci zatim upućuju žrtvu da ručno vjeruje Enterprise profilu razvojnog programera. Nakon što je ovaj korak dovršen, lažna aplikacija se može aktivirati.
Korisnike koji nastave s instalacijom i otvaranjem aplikacije dočekuje stranica za prijavu koja traži njihov broj telefona i lozinku. Proces registracije uključuje unos pozivnog koda, koji pokazuje da se napadači usredotočuju na određene mete kako bi izvršili svoju taktiku.
Nakon uspješne registracije, žrtve ulaze u niz napada od šest koraka. Na njih se vrši pritisak da dostave osobne dokumente kao potvrdu, osobne podatke i podatke o trenutnom zaposlenju. Zatim se od njih traži da pristanu na uvjete i odredbe usluge kako bi nastavili sa svojim ulaganjima.
Nakon uplate depozita, kibernetički kriminalci daju dodatne upute o tome u koje financijske instrumente uložiti, često tvrdeći da imaju visoke potencijalne povrate. Kako bi se ovjekovječila obmana, aplikacijom se manipulira da prikaže ulaganja žrtava kao da stvaraju profit.
Teške posljedice nasjedanja na taktiku
Problemi nastaju kada žrtva pokuša povući svoja sredstva, a u tom trenutku od nje se traži da plati dodatne naknade kako bi povratila svoja početna ulaganja i navodnu dobit. U stvarnosti su sredstva prikupljena i preusmjerena na račune koje kontroliraju napadači.
Još jedna inovativna taktika koju koriste kreatori zlonamjernog softvera uključuje ugradnju konfiguracije koja specificira URL koji hostira stranicu za prijavu i druge pojedinosti aplikacije za lažno trgovanje unutar aplikacije. Ova se konfiguracija nalazi na URL-u povezanom s legitimnom uslugom pod nazivom TermsFeed, koja pruža softver za usklađenost za generiranje pravila privatnosti, uvjeta i odredbi te bannera za pristanak na kolačiće.
Prva identificirana aplikacija, distribuirana putem Apple App Storea, funkcionira kao downloader koji samo dohvaća i prikazuje URL web-aplikacije. Nasuprot tome, druga aplikacija, dobivena s web stranica za krađu identiteta, već sadrži web aplikaciju unutar svojih sredstava.
Istraživači primjećuju da je ova metoda strateški izbor aktera prijetnji, osmišljen kako bi se smanjila vjerojatnost otkrivanja i izbjeglo aktiviranje alarma kada se aplikacija distribuira putem App Storea.
Korisnici Androida također su bili u opasnosti
Stručnjaci za kibernetičku sigurnost identificirali su i lažnu aplikaciju za ulaganje u dionice na Google Play Storeu pod nazivom FINANS INSIGHTS (com.finans.insights). Još jedna aplikacija povezana s istim programerom, Ueaidom Wabi, je FINANS TRADER6 (com.finans.trader).
Iako su obje Android aplikacije trenutno neaktivne u Trgovini Play, preuzete su manje od 5000 puta. FINANS INSIGHTS prvenstveno je ciljao na korisnike u Japanu, Južnoj Koreji i Kambodži, dok je FINANS TRADER6 uglavnom bio dostupan u Tajlandu, Japanu i Cipru.
Budite skeptični prema neočekivanim porukama
Korisnici se pozivaju da budu oprezni kada klikaju na poveznice i da izbjegavaju odgovaranje na neželjene poruke nepoznatih osoba na društvenim mrežama i platformama za upoznavanje. Bitno je provjeriti legitimnost investicijskih platformi i pažljivo ispitati aplikacije, uključujući njihove izdavače, ocjene i recenzije korisnika, prije preuzimanja.
Cyberkriminalci nastavljaju iskorištavati pouzdane platforme kao što su Apple App Store i Google Play za širenje zlonamjernog softvera prerušenog u legitimne aplikacije, iskorištavajući povjerenje korisnika u ova sigurna okruženja. Žrtve su privučene obećanjima brze financijske dobiti, samo da bi otkrile da ne mogu povući svoja sredstva nakon značajnih ulaganja. Korištenje aplikacija temeljenih na webu dodatno zamagljuje nesigurnu aktivnost, čineći otkrivanje još većim izazovom.
