UniShadowTrade
Uma operação de fraude generalizada utilizou programas de negociação falsificados na Apple App Store e Google Play Store, juntamente com sites de phishing, para enganar as vítimas. Este esquema é parte de uma tática mais ampla de fraude de investimento do consumidor, onde alvos em potencial são atraídos para investir em criptomoedas ou outros produtos financeiros após estabelecer confiança por meio de pretensão — seja como um parceiro romântico ou um consultor de investimentos.
Essas táticas enganosas e manipuladoras frequentemente resultam na perda de investimentos das vítimas e, em alguns casos, elas podem ser pressionadas a pagar taxas ou custos adicionais. Especialistas em segurança cibernética indicam que essa campanha fraudulenta abrange várias regiões, com vítimas relatadas na Ásia-Pacífico, Europa, Oriente Médio e África. Os aplicativos fraudulentos, desenvolvidos usando o UniApp Framework, são coletivamente chamados de UniShadowTrade.
Índice
AOperação está Ativa há algum Tempo
O cluster de atividades estaria operacional desde pelo menos meados de 2023, atraindo vítimas com aplicativos inseguros que prometem retornos financeiros rápidos. Uma preocupação significativa é que um desses aplicativos conseguiu contornar o processo de revisão da App Store da Apple, criando uma falsa sensação de legitimidade e confiança. O aplicativo, chamado SBI-INT, foi removido do mercado, mas inicialmente se apresentou como software para "fórmulas matemáticas algébricas comumente usadas e cálculo de área de volume de gráficos 3D".
Acredita-se que os cibercriminosos conseguiram isso implementando uma verificação no código-fonte do aplicativo para determinar se a data e a hora atuais eram anteriores a 22 de julho de 2024, 00:00:00. Se sim, o aplicativo exibiria uma tela enganosa cheia de fórmulas e gráficos. Depois que o aplicativo foi retirado do ar algumas semanas após o lançamento, os agentes da ameaça supostamente mudaram seu foco para distribuir o aplicativo por meio de sites de phishing para plataformas Android e iOS.
Como esses Aplicativos Prejudiciais Operam
Para usuários do iOS, clicar no botão de download inicia o download de um arquivo .plist, que solicita ao sistema a permissão para instalar o aplicativo. No entanto, após o término do download, o aplicativo não pode ser iniciado imediatamente. Os cibercriminosos então instruem a vítima a confiar manualmente no perfil do desenvolvedor Enterprise. Uma vez concluída essa etapa, o aplicativo fraudulento pode ser ativado.
Usuários que procedem à instalação e abertura do aplicativo são recebidos por uma página de login que solicita seu número de telefone e senha. O processo de registro inclui a inserção de um código de convite, indicando que os invasores estão se concentrando em alvos específicos para executar sua tática.
Após o registro bem-sucedido, as vítimas entram em uma sequência de ataque de seis etapas. Elas são pressionadas a enviar documentos de identidade como verificação, detalhes pessoais e informações de emprego atuais. Em seguida, são solicitadas a concordar com os termos e condições do serviço para prosseguir com seus investimentos.
Após fazer um depósito, os cibercriminosos fornecem instruções adicionais sobre quais instrumentos financeiros investir, muitas vezes alegando altos retornos potenciais. Para perpetuar o engano, o aplicativo é manipulado para exibir os investimentos das vítimas como se estivessem gerando lucros.
As Consequências Graves de Se Cair na Tática
Os problemas surgem quando a vítima tenta sacar seus fundos, momento em que é solicitada a pagar taxas adicionais para recuperar seus investimentos iniciais e supostos lucros. Na realidade, os fundos foram coletados e redirecionados para contas controladas pelos invasores.
Outra tática inovadora empregada pelos criadores de malware envolve incorporar uma configuração que especifica a URL que hospeda a página de login e outros detalhes do aplicativo de negociação falso dentro do aplicativo. Essa configuração é hospedada em uma URL vinculada a um serviço legítimo chamado TermsFeed, que fornece software de conformidade para gerar políticas de privacidade, termos e condições e banners de consentimento de cookies.
O primeiro aplicativo identificado, distribuído pela Apple App Store, funciona como um downloader que meramente recupera e exibe uma URL de aplicativo da Web. Em contraste, o segundo aplicativo, obtido de sites de phishing, já contém o aplicativo da Web em seus ativos.
Os pesquisadores observam que esse método é uma escolha estratégica dos agentes de ameaças, projetada para reduzir a probabilidade de detecção e evitar o disparo de alarmes quando o aplicativo é distribuído pela App Store.
Os Usuários do Android também Corriam Risco
Especialistas em segurança cibernética também identificaram um aplicativo fraudulento de investimento em ações na Google Play Store chamado FINANS INSIGHTS (com.finans.insights). Outro aplicativo associado ao mesmo desenvolvedor, Ueaida Wabi, é o FINANS TRADER6 (com.finans.trader).
Embora ambos os aplicativos Android estejam atualmente inativos na Play Store, eles foram baixados menos de 5.000 vezes. O FINANS INSIGHTS tinha como alvo principal usuários no Japão, Coreia do Sul e Camboja, enquanto o FINANS TRADER6 estava disponível principalmente na Tailândia, Japão e Chipre.
Seja Cético em Relação a Mensagens Inesperadas
Os usuários são incentivados a serem cautelosos ao clicar em links e evitar responder a mensagens não solicitadas de indivíduos desconhecidos em mídias sociais e plataformas de namoro. É essencial verificar a legitimidade das plataformas de investimento e examinar cuidadosamente os aplicativos, incluindo seus editores, classificações e avaliações de usuários, antes de fazer o download.
Os criminosos cibernéticos continuam a explorar plataformas confiáveis como a Apple App Store e o Google Play para espalhar malware disfarçado de aplicativos legítimos, aproveitando a confiança dos usuários nesses ambientes seguros. As vítimas são atraídas por promessas de ganhos financeiros rápidos, apenas para descobrir que não podem sacar seus fundos após fazer investimentos substanciais. O uso de aplicativos baseados na Web obscurece ainda mais a atividade insegura, tornando a detecção ainda mais desafiadora.
