UniShadowTrade
Un'operazione di frode diffusa ha utilizzato programmi di trading contraffatti su Apple App Store e Google Play Store, insieme a siti Web di phishing, per ingannare le vittime. Questo schema fa parte di una più ampia tattica di frode sugli investimenti dei consumatori, in cui i potenziali obiettivi vengono indotti a investire in criptovalute o altri prodotti finanziari dopo aver instaurato un rapporto di fiducia tramite finzione, come partner romantico o consulente per gli investimenti.
Queste tattiche ingannevoli e manipolative spesso comportano la perdita dei propri investimenti da parte delle vittime e, in alcuni casi, possono essere spinte a pagare commissioni o costi aggiuntivi. Gli esperti di sicurezza informatica indicano che questa campagna fraudolenta si estende a più regioni, con vittime segnalate in Asia-Pacifico, Europa, Medio Oriente e Africa. Le applicazioni fraudolente, sviluppate utilizzando UniApp Framework, sono collettivamente denominate UniShadowTrade.
Sommario
L'operazione è attiva da un bel po' di tempo
Si dice che il cluster di attività sia operativo almeno da metà del 2023, allettando le vittime con applicazioni non sicure che promettono rapidi ritorni finanziari. Una preoccupazione significativa è che una di queste app sia riuscita a bypassare il processo di revisione dell'App Store di Apple, creando un falso senso di legittimità e fiducia. L'applicazione, denominata SBI-INT, è stata da allora rimossa dal mercato, ma inizialmente si è spacciata per software per "formule matematiche algebriche di uso comune e calcolo dell'area del volume della grafica 3D".
Si ritiene che i criminali informatici abbiano ottenuto questo risultato implementando un controllo nel codice sorgente dell'applicazione per determinare se la data e l'ora correnti fossero antecedenti al 22 luglio 2024, 00:00:00. In tal caso, l'app avrebbe visualizzato una schermata ingannevole piena di formule e grafici. Dopo che l'app è stata rimossa alcune settimane dopo il lancio, gli autori della minaccia avrebbero spostato la loro attenzione sulla distribuzione dell'app tramite siti Web di phishing per piattaforme Android e iOS.
Come funzionano queste applicazioni dannose
Per gli utenti iOS, cliccando sul pulsante di download si avvia il download di un file .plist, che richiede al sistema di richiedere l'autorizzazione per installare l'applicazione. Tuttavia, una volta terminato il download, l'applicazione non può essere avviata immediatamente. I criminali informatici quindi chiedono alla vittima di fidarsi manualmente del profilo sviluppatore Enterprise. Una volta completato questo passaggio, l'applicazione fraudolenta può essere attivata.
Gli utenti che procedono all'installazione e all'apertura dell'applicazione vengono accolti da una pagina di login che richiede il loro numero di telefono e la password. Il processo di registrazione include l'inserimento di un codice di invito, che indica che gli aggressori si stanno concentrando su obiettivi specifici per eseguire la loro tattica.
Dopo la registrazione riuscita, le vittime entrano in una sequenza di attacco in sei fasi. Vengono pressate a presentare documenti di identità come verifica, dati personali e informazioni di lavoro attuali. Viene poi chiesto loro di accettare i termini e le condizioni del servizio per procedere con i loro investimenti.
Dopo aver effettuato un deposito, i criminali informatici forniscono istruzioni aggiuntive su quali strumenti finanziari investire, spesso sostenendo alti potenziali rendimenti. Per perpetuare l'inganno, l'applicazione viene manipolata per mostrare gli investimenti delle vittime come se stessero generando profitti.
Gravi conseguenze del cadere nella trappola della tattica
I problemi sorgono quando la vittima cerca di prelevare i propri fondi, a quel punto viene spinta a pagare commissioni aggiuntive per recuperare i propri investimenti iniziali e i presunti profitti. In realtà, i fondi sono stati raccolti e reindirizzati verso conti controllati dagli aggressori.
Un'altra tattica innovativa impiegata dai creatori di malware consiste nell'incorporare una configurazione che specifica l'URL che ospita la pagina di accesso e altri dettagli dell'applicazione di trading falsa all'interno dell'applicazione. Questa configurazione è ospitata su un URL collegato a un servizio legittimo chiamato TermsFeed, che fornisce software di conformità per generare policy sulla privacy, termini e condizioni e banner di consenso sui cookie.
La prima applicazione identificata, distribuita tramite l'Apple App Store, funziona come un downloader che si limita a recuperare e visualizzare un URL di un'app Web. Al contrario, la seconda applicazione, ottenuta da siti Web di phishing, contiene già l'app Web tra i suoi asset.
I ricercatori sottolineano che questo metodo è una scelta strategica degli autori della minaccia, studiata per ridurre la probabilità di rilevamento ed evitare di far scattare l'allarme quando l'app viene distribuita tramite l'App Store.
Anche gli utenti Android erano a rischio
Gli esperti di sicurezza informatica hanno anche identificato un'applicazione fraudolenta di investimento azionario sul Google Play Store denominata FINANS INSIGHTS (com.finans.insights). Un'altra applicazione associata allo stesso sviluppatore, Ueaida Wabi, è FINANS TRADER6 (com.finans.trader).
Sebbene entrambe le applicazioni Android siano attualmente inattive sul Play Store, sono state scaricate meno di 5.000 volte. FINANS INSIGHTS era rivolta principalmente a utenti in Giappone, Corea del Sud e Cambogia, mentre FINANS TRADER6 era disponibile principalmente in Thailandia, Giappone e Cipro.
Sii scettico sui messaggi inaspettati
Gli utenti sono invitati a essere cauti quando cliccano sui link e a evitare di rispondere a messaggi indesiderati da individui sconosciuti sui social media e sulle piattaforme di incontri. È essenziale verificare la legittimità delle piattaforme di investimento ed esaminare attentamente le app, inclusi i loro editori, le valutazioni e le recensioni degli utenti, prima di scaricarle.
I criminali informatici continuano a sfruttare piattaforme affidabili come Apple App Store e Google Play per diffondere malware camuffati da applicazioni legittime, approfittando della fiducia degli utenti in questi ambienti sicuri. Le vittime sono attratte da promesse di rapidi guadagni finanziari, solo per scoprire di non poter prelevare i propri fondi dopo aver effettuato investimenti sostanziali. L'uso di applicazioni basate sul Web oscura ulteriormente l'attività non sicura, rendendo il rilevamento ancora più difficile.
