UniShadowTrade
Operasi penipuan yang meluas telah menggunakan program perdagangan palsu di Apple App Store dan Google Play Store, bersama-sama dengan tapak web pancingan data, untuk menipu mangsa. Skim ini adalah sebahagian daripada taktik penipuan pelaburan pengguna yang lebih luas, di mana sasaran berpotensi ditarik ke dalam pelaburan dalam mata wang kripto atau produk kewangan lain selepas mewujudkan kepercayaan melalui berpura-pura—sama ada sebagai rakan kongsi romantis atau penasihat pelaburan.
Taktik menipu dan manipulatif ini sering mengakibatkan mangsa kehilangan pelaburan mereka, dan dalam beberapa keadaan, mereka mungkin ditekan untuk membayar yuran atau kos tambahan. Pakar keselamatan siber menunjukkan bahawa kempen penipuan ini merangkumi pelbagai wilayah, dengan mangsa dilaporkan di Asia-Pasifik, Eropah, Timur Tengah dan Afrika. Aplikasi penipuan, yang dibangunkan menggunakan Rangka Kerja UniApp, secara kolektif dirujuk sebagai UniShadowTrade.
Isi kandungan
Operasi Telah Aktif Agak Lama
Kluster aktiviti dilaporkan telah beroperasi sejak sekurang-kurangnya pertengahan 2023, memikat mangsa dengan aplikasi tidak selamat yang menjanjikan pulangan kewangan yang cepat. Kebimbangan yang ketara ialah salah satu apl ini berjaya memintas proses semakan App Store Apple, mewujudkan rasa kesahihan dan kepercayaan palsu. Aplikasi itu, bernama SBI-INT, telah dialih keluar dari pasaran tetapi pada mulanya menyamar sebagai perisian untuk 'rumus matematik algebra yang biasa digunakan dan pengiraan kawasan volum grafik 3D.'
Adalah dipercayai bahawa penjenayah siber mencapai ini dengan melaksanakan semakan dalam kod sumber aplikasi untuk menentukan sama ada tarikh dan masa semasa sebelum 22 Julai 2024, 00:00:00. Jika ya, apl itu akan memaparkan skrin menipu yang dipenuhi dengan formula dan grafik. Selepas apl itu dialih keluar beberapa minggu selepas pelancaran, pelakon ancaman dilaporkan mengalihkan tumpuan mereka kepada mengedarkan apl itu melalui tapak web pancingan data untuk kedua-dua platform Android dan iOS.
Bagaimana Aplikasi Berbahaya ini Beroperasi
Untuk pengguna iOS, mengklik butang muat turun memulakan muat turun fail .plist, yang menggesa sistem meminta kebenaran untuk memasang aplikasi. Walau bagaimanapun, selepas muat turun selesai, aplikasi tidak boleh dilancarkan serta-merta. Penjenayah siber kemudian mengarahkan mangsa untuk mempercayai profil pembangun Perusahaan secara manual. Setelah langkah ini selesai, permohonan penipuan boleh diaktifkan.
Pengguna yang meneruskan untuk memasang dan membuka aplikasi akan disambut oleh halaman log masuk yang meminta nombor telefon dan kata laluan mereka. Proses pendaftaran termasuk memasukkan kod jemputan, menunjukkan bahawa penyerang memfokuskan pada sasaran tertentu untuk melaksanakan taktik mereka.
Selepas pendaftaran berjaya, mangsa memasuki urutan serangan enam langkah. Mereka didesak untuk menyerahkan dokumen pengenalan diri sebagai pengesahan, butiran peribadi dan maklumat pekerjaan semasa. Mereka kemudiannya diminta untuk bersetuju dengan terma dan syarat perkhidmatan untuk meneruskan pelaburan mereka.
Selepas membuat deposit, penjenayah siber memberikan arahan tambahan tentang instrumen kewangan untuk melabur, selalunya menuntut pulangan berpotensi tinggi. Bagi mengekalkan penipuan itu, aplikasi tersebut dimanipulasi untuk memaparkan pelaburan mangsa seolah-olah menjana keuntungan.
Akibat Teruk Terjatuh untuk Taktik
Masalah timbul apabila mangsa cuba mengeluarkan dana mereka, pada ketika itu mereka digesa untuk membayar yuran tambahan untuk mendapatkan semula pelaburan awal mereka dan keuntungan yang sepatutnya. Pada hakikatnya, dana telah dikumpul dan dialihkan ke akaun yang dikawal oleh penyerang.
Satu lagi taktik inovatif yang digunakan oleh pencipta perisian hasad melibatkan membenamkan konfigurasi yang menentukan URL mengehos halaman log masuk dan butiran lain aplikasi perdagangan palsu dalam aplikasi. Konfigurasi ini dihoskan pada URL yang dipautkan kepada perkhidmatan sah yang dipanggil TermsFeed, yang menyediakan perisian pematuhan untuk menjana dasar privasi, terma dan syarat serta sepanduk kebenaran kuki.
Aplikasi pertama yang dikenal pasti, diedarkan melalui Apple App Store, berfungsi sebagai pemuat turun yang hanya mengambil dan memaparkan URL aplikasi Web. Sebaliknya, aplikasi kedua, yang diperoleh daripada tapak web pancingan data, sudah mengandungi apl web dalam asetnya.
Penyelidik ambil perhatian bahawa kaedah ini ialah pilihan strategik oleh pelakon ancaman, yang direka untuk mengurangkan kemungkinan pengesanan dan mengelak daripada mencetuskan penggera apabila apl diedarkan melalui App Store.
Pengguna Android juga berisiko
Pakar keselamatan siber juga mengenal pasti aplikasi pelaburan saham penipuan di Gedung Google Play bernama FINANS INSIGHTS (com.finans.insights). Satu lagi aplikasi yang dikaitkan dengan pembangun yang sama, Ueaida Wabi, ialah FINANS TRADER6 (com.finans.trader).
Walaupun kedua-dua aplikasi Android pada masa ini tidak aktif di Gedung Play, ia telah dimuat turun kurang daripada 5,000 kali. FINANS INSIGHTS menyasarkan pengguna di Jepun, Korea Selatan dan Kemboja, manakala FINANS TRADER6 tersedia terutamanya di Thailand, Jepun dan Cyprus.
Bersikap Skeptikal terhadap Mesej Tidak Dijangka
Pengguna digesa berhati-hati apabila mengklik pautan dan mengelak daripada membalas mesej yang tidak diminta daripada individu yang tidak dikenali di media sosial dan platform temu janji. Adalah penting untuk mengesahkan kesahihan platform pelaburan dan memeriksa apl dengan teliti, termasuk penerbit, penilaian dan ulasan pengguna, sebelum memuat turun.
Penjenayah siber terus mengeksploitasi platform yang dipercayai seperti Apple App Store dan Google Play untuk menyebarkan perisian hasad yang menyamar sebagai aplikasi yang sah, mengambil kesempatan daripada keyakinan pengguna dalam persekitaran selamat ini. Mangsa tertarik dengan janji keuntungan kewangan yang cepat, hanya untuk mengetahui bahawa mereka tidak boleh mengeluarkan dana mereka selepas membuat pelaburan yang besar. Penggunaan aplikasi berasaskan Web terus mengaburkan aktiviti tidak selamat, menjadikan pengesanan lebih mencabar.
