UniShadowTrade
Een wijdverbreide fraudeoperatie heeft gebruikgemaakt van namaakhandelsprogramma's in de Apple App Store en Google Play Store, samen met phishingwebsites, om slachtoffers te misleiden. Deze regeling is onderdeel van een bredere tactiek voor consumentenbeleggingsfraude, waarbij potentiële doelwitten worden verleid tot investeren in cryptovaluta of andere financiële producten nadat ze vertrouwen hebben opgebouwd door middel van schijn, hetzij als romantische partner of als beleggingsadviseur.
Deze misleidende en manipulatieve tactieken resulteren er vaak in dat slachtoffers hun investeringen verliezen en in sommige gevallen kunnen ze onder druk worden gezet om extra kosten te betalen. Cybersecurity-experts geven aan dat deze frauduleuze campagne meerdere regio's beslaat, met slachtoffers in de regio Azië-Pacific, Europa, het Midden-Oosten en Afrika. De frauduleuze applicaties, ontwikkeld met behulp van het UniApp Framework, worden gezamenlijk UniShadowTrade genoemd.
Inhoudsopgave
De operatie is al een tijdje bezig
De activiteitencluster zou al sinds minstens medio 2023 operationeel zijn en slachtoffers lokken met onveilige applicaties die snelle financiële winst beloven. Een belangrijke zorg is dat een van deze apps erin slaagde het App Store-beoordelingsproces van Apple te omzeilen, waardoor een vals gevoel van legitimiteit en vertrouwen ontstond. De applicatie, genaamd SBI-INT, is inmiddels van de markt gehaald, maar deed zich aanvankelijk voor als software voor 'veelgebruikte algebraïsche wiskundige formules en 3D-grafische volume-oppervlakteberekeningen.'
Er wordt aangenomen dat de cybercriminelen dit hebben bereikt door een controle in de broncode van de applicatie te implementeren om te bepalen of de huidige datum en tijd vóór 22 juli 2024, 00:00:00 waren. Als dat zo is, zou de app een misleidend scherm vol formules en afbeeldingen weergeven. Nadat de app een paar weken na de lancering offline was gehaald, zouden de dreigingsactoren hun focus hebben verlegd naar het verspreiden van de app via phishingwebsites voor zowel Android- als iOS-platforms.
Hoe deze schadelijke applicaties werken
Voor iOS-gebruikers start het klikken op de downloadknop de download van een .plist-bestand, dat het systeem vraagt om toestemming om de applicatie te installeren. Nadat de download is voltooid, kan de applicatie echter niet onmiddellijk worden gestart. Cybercriminelen instrueren het slachtoffer vervolgens om het Enterprise-ontwikkelaarsprofiel handmatig te vertrouwen. Zodra deze stap is voltooid, kan de frauduleuze applicatie worden geactiveerd.
Gebruikers die de applicatie installeren en openen, worden begroet door een inlogpagina die om hun telefoonnummer en wachtwoord vraagt. Het registratieproces omvat het invoeren van een uitnodigingscode, wat aangeeft dat de aanvallers zich richten op specifieke doelen om hun tactiek uit te voeren.
Na succesvolle registratie gaan slachtoffers een aanvalsreeks van zes stappen in. Ze worden onder druk gezet om identiteitsdocumenten in te dienen ter verificatie, persoonlijke gegevens en huidige werkinformatie. Vervolgens wordt hen gevraagd akkoord te gaan met de algemene voorwaarden van de service om door te gaan met hun investeringen.
Na het doen van een storting geven de cybercriminelen aanvullende instructies over in welke financiële instrumenten te investeren, vaak met de claim op hoge potentiële rendementen. Om de misleiding in stand te houden, wordt de applicatie gemanipuleerd om de investeringen van de slachtoffers weer te geven alsof ze winst genereren.
Ernstige gevolgen als je voor deze tactiek kiest
Problemen ontstaan wanneer het slachtoffer probeert zijn geld op te nemen, waarna hij wordt gevraagd om extra kosten te betalen om zijn initiële investeringen en veronderstelde winsten terug te krijgen. In werkelijkheid zijn de fondsen verzameld en omgeleid naar accounts die door de aanvallers worden beheerd.
Een andere innovatieve tactiek die door de makers van malware wordt gebruikt, is het inbedden van een configuratie die de URL specificeert die de inlogpagina host en andere details van de nep-handelsapplicatie binnen de applicatie. Deze configuratie wordt gehost op een URL die is gekoppeld aan een legitieme service genaamd TermsFeed, die compliancesoftware biedt voor het genereren van privacybeleid, algemene voorwaarden en cookietoestemmingsbanners.
De eerste geïdentificeerde applicatie, gedistribueerd via de Apple App Store, functioneert als een downloader die alleen een web-app-URL ophaalt en weergeeft. Daarentegen bevat de tweede applicatie, verkregen van phishingwebsites, de web-app al in zijn assets.
Onderzoekers merken op dat deze methode een strategische keuze is van de kwaadwillende partijen. Deze is bedoeld om de kans op detectie te verkleinen en te voorkomen dat er alarmen afgaan wanneer de app via de App Store wordt verspreid.
Android-gebruikers liepen ook risico
Cybersecurity-experts hebben ook een frauduleuze aandeleninvesteringsapplicatie geïdentificeerd in de Google Play Store, genaamd FINANS INSIGHTS (com.finans.insights). Een andere applicatie die geassocieerd wordt met dezelfde ontwikkelaar, Ueaida Wabi, is FINANS TRADER6 (com.finans.trader).
Hoewel beide Android-applicaties momenteel inactief zijn in de Play Store, werden ze minder dan 5.000 keer gedownload. FINANS INSIGHTS richtte zich voornamelijk op gebruikers in Japan, Zuid-Korea en Cambodja, terwijl FINANS TRADER6 voornamelijk beschikbaar was in Thailand, Japan en Cyprus.
Wees sceptisch over onverwachte berichten
Gebruikers worden dringend verzocht voorzichtig te zijn bij het klikken op links en te voorkomen dat ze reageren op ongevraagde berichten van onbekende personen op sociale media en datingplatforms. Het is essentieel om de legitimiteit van investeringsplatforms te verifiëren en apps, inclusief hun uitgevers, beoordelingen en gebruikersrecensies, zorgvuldig te onderzoeken voordat ze worden gedownload.
Cybercriminelen blijven vertrouwde platforms zoals de Apple App Store en Google Play misbruiken om malware te verspreiden die vermomd is als legitieme applicaties, en profiteren zo van het vertrouwen van gebruikers in deze veilige omgevingen. Slachtoffers worden aangetrokken door beloften van snelle financiële winst, om er vervolgens achter te komen dat ze hun geld niet kunnen opnemen nadat ze substantiële investeringen hebben gedaan. Het gebruik van webgebaseerde applicaties verhult de onveilige activiteit nog verder, waardoor detectie nog lastiger wordt.
