유니섀도우트레이드

광범위한 사기 작전은 Apple App Store와 Google Play Store의 위조 거래 프로그램과 피싱 웹사이트를 사용하여 피해자를 속였습니다. 이 계획은 더 광범위한 소비자 투자 사기 전술의 일부로, 잠재적인 대상은 낭만적인 파트너 또는 투자 고문으로서의 허위로 신뢰를 구축한 후 암호화폐 또는 기타 금융 상품에 투자하도록 유도됩니다.

이러한 사기적이고 조작적인 전술로 인해 피해자는 투자를 잃는 경우가 많고, 어떤 경우에는 추가 수수료나 비용을 지불하도록 압력을 받을 수도 있습니다. 사이버 보안 전문가들은 이 사기 캠페인이 여러 지역에 걸쳐 있으며 피해자는 아시아 태평양, 유럽, 중동 및 아프리카에 있다고 지적합니다. UniApp Framework를 사용하여 개발된 사기성 애플리케이션은 총칭하여 UniShadowTrade라고 합니다.

이 작업은 꽤 오랫동안 진행되었습니다.

활동 클러스터는 적어도 2023년 중반부터 운영되어 왔으며, 빠른 재정적 수익을 약속하는 안전하지 않은 애플리케이션으로 피해자를 유혹하고 있다고 합니다. 심각한 우려 사항은 이러한 앱 중 하나가 Apple의 앱 스토어 검토 프로세스를 우회하여 거짓된 합법성과 신뢰감을 조성했다는 것입니다. SBI-INT라는 이름의 이 애플리케이션은 그 후 시장에서 제거되었지만 처음에는 '일반적으로 사용되는 대수 수학 공식 및 3D 그래픽 볼륨 영역 계산'을 위한 소프트웨어로 가장했습니다.

사이버 범죄자들은 현재 날짜와 시간이 2024년 7월 22일 00:00:00 이전인지 확인하기 위해 애플리케이션 소스 코드 내에서 검사를 구현하여 이를 달성한 것으로 생각됩니다. 그렇다면 앱은 수식과 그래픽으로 채워진 사기성 화면을 표시합니다. 앱이 출시 후 몇 주 후에 삭제된 후 위협 행위자들은 Android와 iOS 플랫폼 모두에서 피싱 웹사이트를 통해 앱을 배포하는 데 초점을 맞춘 것으로 알려졌습니다.

이러한 유해한 애플리케이션이 작동하는 방식

iOS 사용자의 경우 다운로드 버튼을 클릭하면 .plist 파일의 다운로드가 시작되고, 시스템에서 애플리케이션을 설치할 수 있는 권한을 요청합니다. 그러나 다운로드가 완료된 후에는 애플리케이션을 즉시 시작할 수 없습니다. 그런 다음 사이버 범죄자는 피해자에게 Enterprise 개발자 프로필을 수동으로 신뢰하도록 지시합니다. 이 단계가 완료되면 사기성 애플리케이션을 활성화할 수 있습니다.

설치를 진행하고 애플리케이션을 여는 사용자는 전화번호와 비밀번호를 요청하는 로그인 페이지로 인사를 받습니다. 등록 과정에는 초대 코드를 입력하는 것이 포함되며, 이는 공격자가 전략을 실행하기 위해 특정 대상에 집중하고 있음을 나타냅니다.

등록에 성공하면 피해자는 6단계 공격 시퀀스에 들어갑니다. 그들은 확인을 위해 신분 증명서, 개인 정보 및 현재 고용 정보를 제출하라는 압력을 받습니다. 그런 다음 투자를 진행하기 위해 서비스 약관에 동의하라는 요청을 받습니다.

사이버 범죄자들은 입금을 한 후, 어떤 금융 상품에 투자해야 하는지에 대한 추가 지침을 제공하며, 종종 높은 잠재 수익을 주장합니다. 사기를 계속하기 위해, 피해자의 투자를 마치 수익을 창출하는 것처럼 표시하도록 애플리케이션을 조작합니다.

전술에 빠지면 심각한 결과가 초래됩니다.

피해자가 자금을 인출하려고 할 때 문제가 발생하는데, 이때 초기 투자와 추정 수익을 회수하기 위해 추가 수수료를 지불하라는 메시지가 표시됩니다. 실제로 자금은 수집되어 공격자가 관리하는 계좌로 리디렉션되었습니다.

맬웨어 제작자가 사용하는 또 다른 혁신적인 전략은 로그인 페이지를 호스팅하는 URL과 가짜 거래 애플리케이션의 다른 세부 정보를 애플리케이션 내에 지정하는 구성을 임베드하는 것입니다. 이 구성은 개인정보 보호정책, 약관 및 조건, 쿠키 동의 배너를 생성하기 위한 규정 준수 소프트웨어를 제공하는 TermsFeed라는 합법적인 서비스에 연결된 URL에 호스팅됩니다.

Apple App Store를 통해 배포된 첫 번째 애플리케이션은 웹 앱 URL을 검색하여 표시하는 다운로더로 기능합니다. 반면 피싱 웹사이트에서 얻은 두 번째 애플리케이션은 이미 자산 내에 웹 앱을 포함하고 있습니다.

연구자들은 이 방법이 위협 행위자들의 전략적 선택이며, 앱 스토어를 통해 앱이 배포될 때 탐지 가능성을 줄이고 경보가 발생하지 않도록 고안된 것이라고 지적합니다.

안드로이드 사용자도 위험에 처해 있습니다

사이버 보안 전문가들은 또한 Google Play Store에서 FINANS INSIGHTS(com.finans.insights)라는 사기성 주식 투자 애플리케이션을 식별했습니다. 같은 개발자인 Ueaida Wabi와 관련된 또 다른 애플리케이션은 FINANS TRADER6(com.finans.trader)입니다.

두 안드로이드 애플리케이션 모두 현재 Play 스토어에서 비활성화되어 있지만, 다운로드 횟수는 5,000회 미만이었습니다. FINANS INSIGHTS는 주로 일본, 한국, 캄보디아의 사용자를 타겟으로 했고, FINANS TRADER6는 주로 태국, 일본, 키프로스에서 제공되었습니다.

예상치 못한 메시지에 회의적이 되십시오

사용자는 링크를 클릭할 때 주의하고 소셜 미디어 및 데이트 플랫폼에서 낯선 사람의 원치 않는 메시지에 응답하지 않도록 촉구합니다. 투자 플랫폼의 합법성을 확인하고 게시자, 평점 및 사용자 리뷰를 포함하여 앱을 다운로드하기 전에 신중하게 검토하는 것이 필수적입니다.

사이버 범죄자들은 Apple App Store와 Google Play와 같은 신뢰할 수 있는 플랫폼을 계속 악용하여 합법적인 애플리케이션으로 위장한 맬웨어를 퍼뜨리고, 이러한 안전한 환경에 대한 사용자의 신뢰를 이용합니다. 피해자들은 빠른 재정적 이익에 대한 약속에 끌리지만, 상당한 투자를 한 후에는 자금을 인출할 수 없다는 사실을 알게 됩니다. 웹 기반 애플리케이션을 사용하면 안전하지 않은 활동이 더욱 가려져 탐지가 더욱 어려워집니다.