UniShadowTrade
Siekiant apgauti aukas, plačiai paplitusioje sukčiavimo operacijoje buvo naudojamos „Apple App Store“ ir „Google Play“ parduotuvės prekybos klastotėmis programos, taip pat sukčiavimo svetainės. Ši schema yra platesnės vartotojų investavimo sukčiavimo taktikos dalis, kai potencialūs taikiniai yra įtraukiami į investavimą į kriptovaliutas ar kitus finansinius produktus po to, kai apsimestinai sukuriamas pasitikėjimas – arba kaip romantiškas partneris, arba kaip investavimo patarėjas.
Dėl šios apgaulingos ir manipuliacinės taktikos aukos dažnai praranda savo investicijas, o kai kuriais atvejais jos gali būti spaudžiamos mokėti papildomus mokesčius ar išlaidas. Kibernetinio saugumo ekspertai nurodo, kad ši apgaulinga kampanija apima kelis regionus, o apie aukos pranešama Azijos ir Ramiojo vandenyno šalyse, Europoje, Artimuosiuose Rytuose ir Afrikoje. Apgaulingos programos, sukurtos naudojant UniApp Framework, bendrai vadinamos UniShadowTrade.
Turinys
Operacija buvo vykdoma gana ilgą laiką
Pranešama, kad veiklos klasteris veikė mažiausiai nuo 2023 m. vidurio, viliodamas aukas nesaugiomis programomis, kurios žada greitą finansinę grąžą. Didelį susirūpinimą kelia tai, kad vienai iš šių programų pavyko apeiti Apple App Store peržiūros procesą, sukurdama klaidingą teisėtumo ir pasitikėjimo jausmą. Programa, pavadinta SBI-INT, nuo to laiko buvo pašalinta iš rinkos, tačiau iš pradžių buvo sukurta kaip programinė įranga, skirta „dažniausiai naudojamoms algebrinėms matematinėms formulėms ir 3D grafikos tūrio plotui apskaičiuoti“.
Manoma, kad kibernetiniai nusikaltėliai tai pasiekė įdiegę programos šaltinio kodo patikrinimą, kad nustatytų, ar dabartinė data ir laikas buvo anksčiau nei 2024 m. liepos 22 d., 00:00:00. Jei taip, programa parodytų apgaulingą ekraną, užpildytą formulėmis ir grafika. Pranešama, kad praėjus kelioms savaitėms po paleidimo programa buvo pašalinta, grėsmės veikėjai sutelkė dėmesį į programos platinimą per sukčiavimo svetaines, skirtas „Android“ ir „iOS“ platformoms.
Kaip veikia šios kenksmingos programos
„iOS“ naudotojams spustelėjus atsisiuntimo mygtuką pradedamas .plist failo atsisiuntimas, kuris ragina sistemą paprašyti leidimo įdiegti programą. Tačiau, kai atsisiuntimas bus baigtas, programos negalima iš karto paleisti. Tada kibernetiniai nusikaltėliai nurodo aukai rankiniu būdu pasitikėti įmonės kūrėjo profiliu. Atlikus šį veiksmą, apgaulinga programa gali būti suaktyvinta.
Vartotojai, kurie įdiegia ir atidaro programą, pasitinka prisijungimo puslapyje, kuriame prašoma jų telefono numerio ir slaptažodžio. Registracijos procesas apima kvietimo kodo įvedimą, nurodantį, kad užpuolikai sutelkia dėmesį į konkrečius taikinius, kad vykdytų savo taktiką.
Sėkmingai užsiregistravus, aukos patenka į šešių žingsnių atakų seką. Jie spaudžiami pateikti asmens tapatybę patvirtinančius dokumentus, asmens duomenis ir esamą informaciją apie darbą. Tada jų prašoma sutikti su paslaugos sąlygomis ir toliau investuoti.
Įnešę indėlį kibernetiniai nusikaltėliai pateikia papildomų nurodymų, į kokius finansinius instrumentus investuoti, dažnai pretenduodami į didelę galimą grąžą. Siekiant išlaikyti apgaulę, programa manipuliuojama taip, kad aukų investicijos būtų rodomos taip, tarsi jos neša pelną.
Sunkios taktikos atsisakymo pasekmės
Problemų kyla tada, kai auka bando atsiimti savo lėšas, o tada jos yra raginamos sumokėti papildomus mokesčius, kad susigrąžintų pradines investicijas ir tariamą pelną. Realiai lėšos buvo surinktos ir nukreiptos į užpuolikų kontroliuojamas sąskaitas.
Kita naujoviška kenkėjiškų programų kūrėjų naudojama taktika apima konfigūracijos, kurioje nurodomas prisijungimo puslapio URL ir kitos suklastotos prekybos programos detalės, įterpimas programoje. Ši konfigūracija yra priglobta URL, susietu su teisėta paslauga, vadinama TermsFeed, kuri teikia atitikties programinę įrangą, skirtą privatumo politikai, taisyklėms ir sąlygoms bei sutikimo dėl slapukų reklamjuosčiams generuoti.
Pirmoji nustatyta programa, platinama per Apple App Store, veikia kaip atsisiuntimo programa, kuri tik nuskaito ir rodo žiniatinklio programos URL. Priešingai, antroje programoje, gautoje iš sukčiavimo svetainių, žiniatinklio programa jau yra jos turtuose.
Tyrėjai pažymi, kad šis metodas yra strateginis grėsmės veikėjų pasirinkimas, skirtas sumažinti aptikimo tikimybę ir išvengti pavojaus signalų, kai programa platinama per „App Store“.
„Android“ naudotojams taip pat iškilo pavojus
Kibernetinio saugumo ekspertai taip pat nustatė apgaulingą investavimo į akcijas programą „Google Play“ parduotuvėje pavadinimu FINANS INSIGHTS (com.finans.insights). Kita programa, susijusi su tuo pačiu kūrėju Ueaida Wabi, yra FINANS TRADER6 (com.finans.trader).
Nors abi „Android“ programos šiuo metu neaktyvios „Play“ parduotuvėje, jos buvo atsisiųstos mažiau nei 5000 kartų. FINANS INSIGHTS pirmiausia buvo skirtas Japonijos, Pietų Korėjos ir Kambodžos naudotojams, o FINANS TRADER6 daugiausia buvo pasiekiamas Tailande, Japonijoje ir Kipre.
Būkite skeptiški netikėtų pranešimų atžvilgiu
Vartotojai raginami būti atsargiems spustelėdami nuorodas ir neatsakyti į nepageidaujamas nepažįstamų asmenų žinutes socialiniuose tinkluose ir pažinčių platformose. Prieš atsisiunčiant būtina patikrinti investavimo platformų teisėtumą ir atidžiai išnagrinėti programas, įskaitant jų leidėjus, įvertinimus ir naudotojų atsiliepimus.
Kibernetiniai nusikaltėliai ir toliau naudojasi patikimomis platformomis, tokiomis kaip „Apple App Store“ ir „Google Play“, siekdami platinti kenkėjiškas programas, užmaskuotas kaip teisėtos programos, pasinaudodami vartotojų pasitikėjimu šia saugia aplinka. Aukas vilioja pažadai greitai gauti finansinę naudą, tik sužino, kad, investavę dideles investicijas, negali atsiimti savo lėšų. Naudojant žiniatinklio programas dar labiau užtemdoma nesaugi veikla, todėl aptikimas tampa dar sudėtingesnis.
