UniShadowTrade
Plaši izplatītā krāpšanas operācijā upuru maldināšanai tika izmantotas viltojumu tirdzniecības programmas Apple App Store un Google Play veikalā, kā arī pikšķerēšanas vietnes. Šī shēma ir daļa no plašākas patērētāju ieguldījumu krāpšanas taktikas, kurā potenciālie mērķi tiek piesaistīti ieguldījumiem kriptovalūtās vai citos finanšu produktos pēc tam, kad ir nodibināta uzticība, izmantojot izlikšanos — vai nu kā romantisks partneris, vai investīciju konsultants.
Šīs maldinošās un manipulatīvās taktikas bieži noved pie tā, ka upuri zaudē savus ieguldījumus, un dažos gadījumos viņi var tikt piespiesti maksāt papildu nodevas vai izmaksas. Kiberdrošības eksperti norāda, ka šī krāpnieciskā kampaņa aptver vairākus reģionus, un par upuriem ziņots Āzijas un Klusā okeāna reģionā, Eiropā, Tuvajos Austrumos un Āfrikā. Krāpnieciskās lietojumprogrammas, kas izstrādātas, izmantojot UniApp Framework, kopā tiek sauktas par UniShadowTrade.
Satura rādītājs
Operācija ir bijusi aktīva diezgan ilgu laiku
Tiek ziņots, ka aktivitāšu klasteris darbojas vismaz kopš 2023. gada vidus, vilinot upurus ar nedrošām lietojumprogrammām, kas sola ātru finansiālu atdevi. Būtiskas bažas rada tas, ka vienai no šīm lietotnēm izdevās apiet Apple App Store pārskatīšanas procesu, radot nepatiesu leģitimitātes un uzticības sajūtu. Lietojumprogramma ar nosaukumu SBI-INT kopš tā laika ir izņemta no tirgus, taču sākotnēji tā tika izmantota kā programmatūra "parasti lietotām algebriskām matemātiskām formulām un 3D grafikas apjoma apgabala aprēķināšanai".
Tiek uzskatīts, ka kibernoziedznieki to panāca, ieviešot pārbaudi lietojumprogrammas pirmkodā, lai noteiktu, vai pašreizējais datums un laiks ir pirms 2024. gada 22. jūlija plkst. 00:00:00. Ja tā, lietotne parādītu maldinošu ekrānu, kas piepildīts ar formulām un grafiku. Pēc tam, kad lietotne tika noņemta dažas nedēļas pēc palaišanas, draudu dalībnieki, kā ziņots, pievērsa uzmanību lietotnes izplatīšanai, izmantojot pikšķerēšanas vietnes gan Android, gan iOS platformām.
Kā darbojas šīs kaitīgās lietojumprogrammas
iOS lietotājiem, noklikšķinot uz lejupielādes pogas, tiek sākta .plist faila lejupielāde, kas liks sistēmai pieprasīt atļauju lietojumprogrammas instalēšanai. Tomēr pēc lejupielādes pabeigšanas lietojumprogrammu nevar palaist uzreiz. Pēc tam kibernoziedznieki norāda upurim manuāli uzticēties uzņēmuma izstrādātāja profilam. Kad šī darbība ir pabeigta, krāpniecisko lietojumprogrammu var aktivizēt.
Lietotājus, kuri turpina lietojumprogrammas instalēšanu un atvēršanu, sagaida pieteikšanās lapa, kurā tiek pieprasīts viņu tālruņa numurs un parole. Reģistrācijas process ietver ielūguma koda ievadīšanu, kas norāda, ka uzbrucēji koncentrējas uz konkrētiem mērķiem, lai īstenotu savu taktiku.
Pēc veiksmīgas reģistrācijas upuri ievada sešu soļu uzbrukuma secību. Viņi tiek spiesti iesniegt personu apliecinošus dokumentus kā pārbaudi, personas datus un pašreizējo nodarbinātības informāciju. Pēc tam viņiem tiek lūgts piekrist pakalpojuma noteikumiem un nosacījumiem, lai varētu turpināt ieguldījumus.
Pēc iemaksas veikšanas kibernoziedznieki sniedz papildu norādījumus, kuros finanšu instrumentos ieguldīt, bieži vien pretendējot uz augstu potenciālo atdevi. Lai iemūžinātu maldināšanu, aplikācija tiek manipulēta, lai attēlotu upuru ieguldījumus tā, it kā tie gūtu peļņu.
Smagas sekas, ko rada taktika
Problēmas rodas, kad cietušais mēģina izņemt savus līdzekļus, un tad viņam tiek piedāvāts maksāt papildu maksu, lai atgūtu sākotnējos ieguldījumus un paredzamo peļņu. Realitātē līdzekļi ir savākti un novirzīti uz uzbrucēju kontrolētajiem kontiem.
Vēl viena novatoriska taktika, ko izmanto ļaunprātīgas programmatūras veidotāji, ietver konfigurācijas iegulšanu, kas lietojumprogrammā norāda URL, kurā tiek mitināta pieteikšanās lapa, un cita informācija par viltus tirdzniecības lietojumprogrammu. Šī konfigurācija tiek mitināta vietrādī URL, kas ir saistīts ar likumīgu pakalpojumu TermsFeed, kas nodrošina atbilstības programmatūru konfidencialitātes politiku, noteikumu un nosacījumu un sīkfailu piekrišanas reklāmkarogu ģenerēšanai.
Pirmā identificētā lietojumprogramma, kas izplatīta Apple App Store, darbojas kā lejupielādētājs, kas tikai izgūst un parāda tīmekļa lietotnes URL. Turpretim otrā lietojumprogramma, kas iegūta no pikšķerēšanas vietnēm, jau satur tīmekļa lietotni savos īpašumos.
Pētnieki atzīmē, ka šī metode ir apdraudējuma dalībnieku stratēģiska izvēle, kas paredzēta, lai samazinātu atklāšanas iespējamību un izvairītos no trauksmju aktivizēšanas, kad lietotne tiek izplatīta, izmantojot App Store.
Arī Android lietotāji bija pakļauti riskam
Kiberdrošības eksperti Google Play veikalā atklāja arī krāpniecisku akciju ieguldījumu lietojumprogrammu ar nosaukumu FINANS INSIGHTS (com.finans.insights). Vēl viena lietojumprogramma, kas saistīta ar to pašu izstrādātāju Ueaida Wabi, ir FINANS TRADER6 (com.finans.trader).
Lai gan abas Android lietojumprogrammas pašlaik ir neaktīvas Play veikalā, tās tika lejupielādētas mazāk nekā 5000 reižu. FINANS INSIGHTS galvenokārt bija paredzēts lietotājiem Japānā, Dienvidkorejā un Kambodžā, savukārt FINANS TRADER6 galvenokārt bija pieejams Taizemē, Japānā un Kiprā.
Esiet skeptisks pret neparedzētiem ziņojumiem
Lietotāji tiek aicināti būt piesardzīgiem, klikšķinot uz saitēm, un izvairīties no atbildes uz nevēlamiem ziņojumiem no nepazīstamām personām sociālajos medijos un iepazīšanās platformās. Pirms lejupielādes ir svarīgi pārbaudīt ieguldījumu platformu likumību un rūpīgi pārbaudīt lietotnes, tostarp to izdevējus, vērtējumus un lietotāju atsauksmes.
Kibernoziedznieki turpina izmantot uzticamas platformas, piemēram, Apple App Store un Google Play, lai izplatītu ļaunprātīgu programmatūru, kas slēpta kā likumīgas lietojumprogrammas, izmantojot lietotāju uzticību šīm drošajām vidēm. Upurus piesaista solījumi par ātru finansiālu ieguvumu, lai tikai atklātu, ka pēc ievērojamu ieguldījumu veikšanas viņi nevar izņemt savus līdzekļus. Tīmekļa lietojumprogrammu izmantošana vēl vairāk aizsedz nedrošas darbības, padarot noteikšanu vēl grūtāku.
