Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) UniShadowTrade

UniShadowTrade

Mezo -ra Advanced Persistent Threat (APT), Adathalászat-ben
Fordítás ide:
Magyar

Egy széles körben elterjedt csalási művelet az Apple App Store és a Google Play Store áruházban hamisított kereskedési programokat, valamint adathalász webhelyeket használt az áldozatok megtévesztésére. Ez a konstrukció egy szélesebb fogyasztói befektetési csalási taktika része, ahol a potenciális célpontokat a kriptovalutákba vagy más pénzügyi termékekbe történő befektetésekbe vonják, miután színlelésből bizalmat alakítottak ki – akár romantikus partnerként, akár befektetési tanácsadóként.

Ezek a megtévesztő és manipulatív taktikák gyakran azt eredményezik, hogy az áldozatok elveszítik befektetéseiket, és bizonyos esetekben további díjak vagy költségek megfizetésére kényszerülhetnek. A kiberbiztonsági szakértők azt mutatják, hogy ez a csaló kampány több régióra is kiterjed, áldozatokról számoltak be az ázsiai-csendes-óceáni térségben, Európában, a Közel-Keleten és Afrikában. Az UniApp Framework segítségével kifejlesztett csaló alkalmazásokat együttesen UniShadowTrade-nek nevezzük.

A művelet elég régóta aktív

A tevékenységi klaszter a jelentések szerint legalább 2023 közepe óta működik, és nem biztonságos alkalmazásokkal csábítja az áldozatokat, amelyek gyors pénzügyi megtérülést ígérnek. Jelentős aggodalomra ad okot, hogy az egyik ilyen alkalmazásnak sikerült megkerülnie az Apple App Store felülvizsgálati folyamatát, és ezzel a legitimitás és a bizalom hamis érzését keltette. Az SBI-INT nevű alkalmazást azóta eltávolították a piacról, de kezdetben „általánosan használt algebrai matematikai képletek és 3D-s grafika térfogat-területszámítására” szolgáló szoftverként jelentették.

Úgy gondolják, hogy a kiberbűnözők ezt úgy érték el, hogy az alkalmazás forráskódjában ellenőriztek, hogy az aktuális dátum és idő 2024. július 22. 00:00:00 előtti-e. Ha igen, az alkalmazás megtévesztő képernyőt jelenítene meg képletekkel és grafikákkal. Miután az alkalmazást néhány héttel a bevezetést követően eltávolították, a fenyegetések szereplői állítólag az alkalmazás terjesztésére helyezték át az alkalmazást adathalász webhelyeken keresztül Android és iOS platformokon.

Hogyan működnek ezek a káros alkalmazások

iOS-felhasználók esetében a letöltés gombra kattintva elindul egy .plist fájl letöltése, amely felszólítja a rendszert, hogy kérjen engedélyt az alkalmazás telepítéséhez. A letöltés befejezése után azonban az alkalmazást nem lehet azonnal elindítani. A kiberbűnözők ezután utasítják az áldozatot, hogy bízzon meg manuálisan az Enterprise fejlesztői profilban. A lépés befejezése után a csaló alkalmazás aktiválható.

Azokat a felhasználókat, akik folytatják az alkalmazás telepítését és megnyitását, egy bejelentkezési oldal fogadja, amely elkéri telefonszámukat és jelszavukat. A regisztrációs folyamat magában foglalja egy meghívó kód megadását, amely jelzi, hogy a támadók konkrét célpontokra összpontosítanak, hogy végrehajtsák taktikájukat.

Sikeres regisztráció után az áldozatok hatlépéses támadássorozatba lépnek. Arra kényszerítik őket, hogy a személyazonosító okmányokat, a személyes adatokat és az aktuális foglalkoztatási információkat nyújtsák be. Ezután felkérik őket, hogy fogadják el a szolgáltatás feltételeit, hogy folytathassák befektetéseiket.

A befizetést követően a kiberbűnözők további utasításokat adnak arra vonatkozóan, hogy mely pénzügyi eszközökbe érdemes befektetni, gyakran magas hozamra hivatkozva. A megtévesztés állandósítása érdekében az alkalmazást úgy manipulálják, hogy az áldozatok befektetéseit úgy jelenítse meg, mintha azok nyereséget termelnének.

Súlyos következményei a taktikázásnak

Problémák merülnek fel, amikor az áldozat megpróbálja kivenni a pénzét, ekkor további díjat kell fizetnie, hogy visszaszerezze kezdeti befektetéseit és feltételezett nyereségét. A valóságban a pénzeszközöket összegyűjtötték, és a támadók által ellenőrzött számlákra irányították át.

A rosszindulatú programok készítői által alkalmazott másik innovatív taktika egy olyan konfiguráció beágyazása, amely megadja a bejelentkezési oldal URL-jét és a hamis kereskedési alkalmazás egyéb részleteit az alkalmazáson belül. Ezt a konfigurációt a TermsFeed nevű legitim szolgáltatáshoz kapcsolódó URL tárolja, amely megfelelőségi szoftvert biztosít az adatvédelmi irányelvek, feltételek és feltételek, valamint a cookie-k engedélyezésére szolgáló szalaghirdetések létrehozásához.

Az első azonosított alkalmazás, amelyet az Apple App Store-on keresztül terjesztenek, letöltőként működik, amely csupán lekéri és megjeleníti a webalkalmazás URL-jét. Ezzel szemben a második alkalmazás, amelyet adathalász webhelyekről szereztek be, már tartalmazza a webalkalmazást az eszközei között.

A kutatók megjegyzik, hogy ez a módszer a fenyegetés szereplőinek stratégiai választása, amelynek célja az észlelés valószínűségének csökkentése és a riasztások elkerülése, amikor az alkalmazást az App Store-on keresztül terjesztik.

Az Android felhasználók is veszélyben voltak

A kiberbiztonsági szakértők egy FINANS INSIGHTS (com.finans.insights) nevű csaló részvénybefektetési alkalmazást is azonosítottak a Google Play Áruházban. Egy másik alkalmazás, amely ugyanahhoz a fejlesztőhöz, az Ueaida Wabihoz kapcsolódik, a FINANS TRADER6 (com.finans.trader).

Bár jelenleg mindkét Android-alkalmazás inaktív a Play Áruházban, kevesebb mint 5000 alkalommal töltötték le őket. A FINANS INSIGHTS elsősorban a japán, dél-koreai és kambodzsai felhasználókat célozta meg, míg a FINANS TRADER6 elsősorban Thaiföldön, Japánban és Cipruson volt elérhető.

Legyen szkeptikus a váratlan üzenetekkel szemben

A felhasználókat arra kérik, hogy legyenek elővigyázatosak, amikor a linkekre kattintanak, és kerüljék, hogy a közösségi médiában és a társkereső platformokon ismeretlen személyektől érkező kéretlen üzenetekre válaszoljanak. A letöltés előtt feltétlenül ellenőrizni kell a befektetési platformok legitimitását, és alaposan meg kell vizsgálni az alkalmazásokat, beleértve a kiadóikat, az értékeléseket és a felhasználói véleményeket.

A kiberbűnözők továbbra is kihasználják az olyan megbízható platformokat, mint az Apple App Store és a Google Play, hogy törvényes alkalmazásnak álcázott rosszindulatú programokat terjeszthessenek, kihasználva a felhasználók e biztonságos környezetekbe vetett bizalmát. Az áldozatokat a gyors pénzügyi haszon ígérete vonzza, de rájönnek, hogy jelentős befektetések után nem tudják kivenni a pénzüket. A webalapú alkalmazások használata tovább eltakarja a nem biztonságos tevékenységeket, és még nagyobb kihívást jelent az észlelés.


Felkapott

Legnézettebb

„Geek Squad” e-mail átverés

Adathalászat, Spam
37,281
A Geek Squad, egy népszerű technikai támogatási szolgáltató a Geek Squad Email Scam nevű adathalász csalás áldozata lett. Ez a technikai támogatási átverés hamis e-maileket használ, amelyek ráveszik az embereket személyes adataik megadására, például hitelkártyaadatokra, e-mail címekre, sőt társadalombiztosítási számokra is. Ebben a cikkben magáról a csalásról fogunk beszélni, hogyan néz ki,...

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Hamis figyelmeztető üzenetek
28,853
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...