UniShadowTrade
Szeroko zakrojona operacja oszustwa wykorzystywała fałszywe programy handlowe w Apple App Store i Google Play Store, a także witryny phishingowe, aby oszukać ofiary. Ten schemat jest częścią szerszej taktyki oszustwa inwestycyjnego konsumentów, w której potencjalne cele są wciągane w inwestowanie w kryptowaluty lub inne produkty finansowe po zbudowaniu zaufania poprzez udawanie — albo jako partner romantyczny, albo doradca inwestycyjny.
Te oszukańcze i manipulacyjne taktyki często skutkują utratą inwestycji przez ofiary, a w niektórych przypadkach mogą być one zmuszane do uiszczenia dodatkowych opłat lub kosztów. Eksperci ds. cyberbezpieczeństwa wskazują, że ta oszukańcza kampania obejmuje wiele regionów, a ofiary zgłaszane są w regionie Azji i Pacyfiku, Europie, na Bliskim Wschodzie i w Afryce. Oszukańcze aplikacje, opracowane przy użyciu UniApp Framework, są zbiorczo określane jako UniShadowTrade.
Spis treści
Operacja jest aktywna już od dłuższego czasu
Zgłaszano, że klaster aktywności działał co najmniej od połowy 2023 r., kusząc ofiary niebezpiecznymi aplikacjami, które obiecują szybkie zyski finansowe. Istotnym problemem jest to, że jednej z tych aplikacji udało się ominąć proces przeglądu App Store firmy Apple, tworząc fałszywe poczucie legalności i zaufania. Aplikacja o nazwie SBI-INT została od tego czasu usunięta ze sklepu, ale początkowo podawała się za oprogramowanie do „powszechnie używanych algebraicznych wzorów matematycznych i obliczania powierzchni grafiki 3D”.
Uważa się, że cyberprzestępcy osiągnęli to, wdrażając kontrolę w kodzie źródłowym aplikacji, aby ustalić, czy bieżąca data i godzina były przed 22 lipca 2024 r., 00:00:00. Jeśli tak, aplikacja wyświetliłaby oszukańczy ekran wypełniony formułami i grafikami. Po tym, jak aplikacja została wyłączona kilka tygodni po uruchomieniu, atakujący rzekomo skupili się na dystrybucji aplikacji za pośrednictwem witryn phishingowych dla platform Android i iOS.
Jak działają te szkodliwe aplikacje
W przypadku użytkowników iOS kliknięcie przycisku pobierania inicjuje pobieranie pliku .plist, który wyświetla monit systemu o żądanie pozwolenia na zainstalowanie aplikacji. Jednak po zakończeniu pobierania aplikacja nie może zostać natychmiast uruchomiona. Cyberprzestępcy instruują następnie ofiarę, aby zaufała profilowi dewelopera Enterprise ręcznie. Po wykonaniu tego kroku można aktywować fałszywą aplikację.
Użytkownicy, którzy instalują i otwierają aplikację, są witani przez stronę logowania, która prosi o podanie numeru telefonu i hasła. Proces rejestracji obejmuje wprowadzenie kodu zaproszenia, wskazującego, że atakujący koncentrują się na określonych celach, aby wykonać swoją taktykę.
Po pomyślnej rejestracji ofiary przechodzą przez sześcioetapową sekwencję ataku. Są zmuszane do przesłania dokumentów tożsamości jako weryfikacji, danych osobowych i aktualnych informacji o zatrudnieniu. Następnie są proszone o zaakceptowanie warunków korzystania z usługi, aby kontynuować inwestycje.
Po dokonaniu wpłaty cyberprzestępcy podają dodatkowe instrukcje dotyczące tego, w jakie instrumenty finansowe inwestować, często twierdząc, że potencjalnie wysokie zyski. Aby utrwalić oszustwo, aplikacja jest manipulowana, aby wyświetlać inwestycje ofiar, jakby generowały zyski.
Ciężkie konsekwencje poddania się tej taktyce
Problemy pojawiają się, gdy ofiara próbuje wypłacić swoje środki, w którym to momencie jest proszona o zapłacenie dodatkowych opłat, aby odzyskać swoje początkowe inwestycje i domniemane zyski. W rzeczywistości środki zostały zebrane i przekierowane na konta kontrolowane przez atakujących.
Inna innowacyjna taktyka stosowana przez twórców złośliwego oprogramowania polega na osadzeniu konfiguracji, która określa adres URL hostujący stronę logowania i inne szczegóły fałszywej aplikacji handlowej w aplikacji. Ta konfiguracja jest hostowana na adresie URL połączonym z legalną usługą o nazwie TermsFeed, która zapewnia oprogramowanie zgodności do generowania polityk prywatności, warunków i zasad oraz banerów zgody na pliki cookie.
Pierwsza zidentyfikowana aplikacja, dystrybuowana przez Apple App Store, działa jako program do pobierania, który po prostu pobiera i wyświetla adres URL aplikacji internetowej. Natomiast druga aplikacja, uzyskana z witryn phishingowych, zawiera już aplikację internetową w swoich zasobach.
Naukowcy zauważają, że ta metoda jest strategicznym wyborem podmiotów atakujących, mającym na celu zmniejszenie prawdopodobieństwa wykrycia i uniknięcie wywoływania alarmów, gdy aplikacja jest rozpowszechniana za pośrednictwem App Store.
Użytkownicy Androida również byli narażeni na ryzyko
Eksperci ds. cyberbezpieczeństwa zidentyfikowali również fałszywą aplikację do inwestowania w akcje w Google Play Store o nazwie FINANS INSIGHTS (com.finans.insights). Inna aplikacja powiązana z tym samym deweloperem, Ueaida Wabi, to FINANS TRADER6 (com.finans.trader).
Chociaż obie aplikacje na Androida są obecnie nieaktywne w Play Store, zostały pobrane mniej niż 5000 razy. FINANS INSIGHTS był skierowany głównie do użytkowników w Japonii, Korei Południowej i Kambodży, podczas gdy FINANS TRADER6 był dostępny głównie w Tajlandii, Japonii i na Cyprze.
Podchodź sceptycznie do nieoczekiwanych wiadomości
Użytkownicy są proszeni o zachowanie ostrożności podczas klikania w linki i unikanie odpowiadania na niechciane wiadomości od nieznanych osób w mediach społecznościowych i na platformach randkowych. Przed pobraniem aplikacji należy koniecznie sprawdzić ich legalność i dokładnie je zbadać, w tym wydawców, oceny i recenzje użytkowników.
Cyberprzestępcy nadal wykorzystują zaufane platformy, takie jak Apple App Store i Google Play, aby rozprzestrzeniać złośliwe oprogramowanie podszywające się pod legalne aplikacje, wykorzystując zaufanie użytkowników do tych bezpiecznych środowisk. Ofiary są przyciągane obietnicami szybkich zysków finansowych, tylko po to, aby odkryć, że nie mogą wypłacić swoich środków po dokonaniu znacznych inwestycji. Korzystanie z aplikacji internetowych jeszcze bardziej zaciemnia niebezpieczną aktywność, co sprawia, że wykrycie jest jeszcze trudniejsze.
