UniShadowTrade
En utbredt svindeloperasjon har brukt falske handelsprogrammer på Apple App Store og Google Play Store, sammen med phishing-nettsteder, for å lure ofre. Denne ordningen er en del av en bredere taktikk for svindel for forbrukerinvesteringer, der potensielle mål trekkes inn i å investere i kryptovalutaer eller andre finansielle produkter etter å ha etablert tillit gjennom påskudd – enten som en romantisk partner eller en investeringsrådgiver.
Disse villedende og manipulerende taktikkene resulterer ofte i at ofre mister investeringene sine, og i noen tilfeller kan de bli presset til å betale ekstra gebyrer eller kostnader. Eksperter på nettsikkerhet indikerer at denne uredelige kampanjen spenner over flere regioner, med ofre rapportert i Asia-Stillehavet, Europa, Midtøsten og Afrika. De uredelige applikasjonene, utviklet ved hjelp av UniApp Framework, blir samlet referert til som UniShadowTrade.
Innholdsfortegnelse
Operasjonen har vært aktiv en stund
Aktivitetsklyngen rapporteres å ha vært operativ siden minst midten av 2023, og lokket ofre med utrygge applikasjoner som lover rask økonomisk avkastning. En betydelig bekymring er at en av disse appene klarte å omgå Apples App Store-gjennomgangsprosess, og skape en falsk følelse av legitimitet og tillit. Applikasjonen, kalt SBI-INT, har siden blitt fjernet fra markedet, men i utgangspunktet utgitt som programvare for "vanlige algebraiske matematiske formler og 3D-grafikkvolumarealberegning."
Det antas at nettkriminelle oppnådde dette ved å implementere en sjekk i applikasjonens kildekode for å avgjøre om gjeldende dato og klokkeslett var før 22. juli 2024, 00:00:00. I så fall vil appen vise en villedende skjerm fylt med formler og grafikk. Etter at appen ble fjernet noen uker etter lansering, skal trusselaktørene ha skiftet fokus til å distribuere appen gjennom phishing-nettsteder for både Android- og iOS-plattformer.
Hvordan disse skadelige applikasjonene fungerer
For iOS-brukere starter nedlastingen av en .plist-fil ved å klikke på nedlastingsknappen, som ber systemet om å be om tillatelse til å installere programmet. Etter at nedlastingen er fullført, kan imidlertid ikke applikasjonen startes umiddelbart. Cyberkriminelle instruerer deretter offeret om å stole på Enterprise-utviklerprofilen manuelt. Når dette trinnet er fullført, kan den uredelige applikasjonen aktiveres.
Brukere som fortsetter med å installere og åpne applikasjonen, blir møtt av en påloggingsside som ber om telefonnummeret og passordet deres. Registreringsprosessen inkluderer å skrive inn en invitasjonskode, som indikerer at angriperne fokuserer på spesifikke mål for å utføre taktikken sin.
Ved vellykket registrering går ofrene inn i en seks-trinns angrepssekvens. De blir presset til å sende inn identitetsdokumenter som bekreftelse, personlige opplysninger og gjeldende ansettelsesinformasjon. De blir deretter bedt om å godta tjenestens vilkår og betingelser for å fortsette med investeringene.
Etter å ha gjort et innskudd gir nettkriminelle ytterligere instruksjoner om hvilke finansielle instrumenter de skal investere i, og krever ofte høy potensiell avkastning. For å forevige bedraget blir applikasjonen manipulert for å vise ofrenes investeringer som om de genererer fortjeneste.
Alvorlige konsekvenser av å falle for taktikken
Problemer oppstår når offeret prøver å ta ut pengene sine, og da blir de bedt om å betale tilleggsgebyrer for å få tilbake de opprinnelige investeringene og antatte fortjenestene. I virkeligheten har midlene blitt samlet inn og omdirigert til kontoer kontrollert av angriperne.
En annen innovativ taktikk brukt av skadevareskaperne involverer å bygge inn en konfigurasjon som spesifiserer URL-en som er vert for påloggingssiden og andre detaljer om den falske handelsapplikasjonen i applikasjonen. Denne konfigurasjonen er vert for en URL koblet til en legitim tjeneste kalt TermsFeed, som gir samsvarsprogramvare for å generere personvernregler, vilkår og betingelser og samtykkebannere for informasjonskapsler.
Den første applikasjonen som ble identifisert, distribuert gjennom Apple App Store, fungerer som en nedlaster som bare henter og viser en nettapp-URL. Derimot inneholder den andre applikasjonen, hentet fra phishing-nettsteder, allerede nettappen i sine eiendeler.
Forskere bemerker at denne metoden er et strategisk valg av trusselaktørene, designet for å redusere sannsynligheten for oppdagelse og unngå å utløse alarmer når appen distribueres via App Store.
Android-brukere var også i faresonen
Eksperter på nettsikkerhet har også identifisert en falsk aksjeinvesteringsapplikasjon på Google Play Store kalt FINANS INSIGHTS (com.finans.insights). En annen applikasjon knyttet til samme utvikler, Ueaida Wabi, er FINANS TRADER6 (com.finans.trader).
Selv om begge Android-appene for øyeblikket er inaktive i Play-butikken, ble de lastet ned færre enn 5000 ganger. FINANS INSIGHTS rettet seg først og fremst mot brukere i Japan, Sør-Korea og Kambodsja, mens FINANS TRADER6 hovedsakelig var tilgjengelig i Thailand, Japan og Kypros.
Vær skeptisk til uventede meldinger
Brukere oppfordres til å være forsiktige når de klikker på lenker og å unngå å svare på uønskede meldinger fra ukjente personer på sosiale medier og datingplattformer. Det er viktig å verifisere legitimiteten til investeringsplattformer og nøye undersøke apper, inkludert deres utgivere, vurderinger og brukeranmeldelser, før nedlasting.
Nettkriminelle fortsetter å utnytte pålitelige plattformer som Apple App Store og Google Play for å spre skadelig programvare forkledd som legitime applikasjoner, og dra nytte av brukernes tillit til disse sikre miljøene. Ofre tiltrekkes av løfter om raske økonomiske gevinster, bare for å oppdage at de ikke kan ta ut pengene sine etter å ha gjort betydelige investeringer. Bruken av nettbaserte applikasjoner skjuler den utrygge aktiviteten ytterligere, og gjør deteksjon enda mer utfordrende.
