UniShadowTrade
O operațiune de fraudă pe scară largă a folosit programe de tranzacționare contrafăcute în Apple App Store și Google Play Store, împreună cu site-uri web de phishing, pentru a înșela victimele. Această schemă face parte dintr-o tactică mai largă de fraudă a investițiilor pentru consumatori, în care potențialele ținte sunt atrase în investiții în criptomonede sau alte produse financiare după ce s-a stabilit încrederea prin pretenție – fie ca partener romantic, fie ca consilier de investiții.
Aceste tactici înșelătoare și manipulatoare duc frecvent la pierderea investițiilor victimelor și, în unele cazuri, acestea pot fi presate să plătească taxe sau costuri suplimentare. Experții în securitate cibernetică indică faptul că această campanie frauduloasă se întinde pe mai multe regiuni, cu victime raportate în Asia-Pacific, Europa, Orientul Mijlociu și Africa. Aplicațiile frauduloase, dezvoltate folosind Cadrul UniApp, sunt denumite în mod colectiv UniShadowTrade.
Cuprins
Operațiunea a fost activă de ceva vreme
Se raportează că clusterul de activități a fost operațional de cel puțin la jumătatea anului 2023, atrăgând victimele cu aplicații nesigure care promit profituri financiare rapide. O preocupare semnificativă este că una dintre aceste aplicații a reușit să ocolească procesul de revizuire a App Store al Apple, creând un sentiment fals de legitimitate și încredere. Aplicația, numită SBI-INT, a fost de atunci eliminată de pe piață, dar inițial a fost prezentată ca un software pentru „formule matematice algebrice utilizate în mod obișnuit și calculul suprafeței grafice 3D”.
Se crede că infractorii cibernetici au reușit acest lucru prin implementarea unei verificări în codul sursă al aplicației pentru a determina dacă data și ora curente au fost înainte de 22 iulie 2024, 00:00:00. Dacă da, aplicația ar afișa un ecran înșelător plin cu formule și grafice. După ce aplicația a fost eliminată la câteva săptămâni după lansare, actorii amenințărilor și-au mutat atenția asupra distribuirii aplicației prin site-uri web de phishing atât pentru platformele Android, cât și pentru iOS.
Cum funcționează aceste aplicații dăunătoare
Pentru utilizatorii iOS, făcând clic pe butonul de descărcare inițiază descărcarea unui fișier .plist, care solicită sistemului să solicite permisiunea de a instala aplicația. Cu toate acestea, după ce descărcarea este terminată, aplicația nu poate fi lansată imediat. Infractorii cibernetici îi instruiesc apoi pe victimă să aibă încredere manual în profilul de dezvoltator Enterprise. Odată finalizat acest pas, aplicația frauduloasă poate fi activată.
Utilizatorii care procedează la instalarea și deschiderea aplicației sunt întâmpinați de o pagină de conectare care le solicită numărul de telefon și parola. Procesul de înregistrare include introducerea unui cod de invitație, care indică faptul că atacatorii se concentrează pe ținte specifice pentru a-și executa tactica.
După înregistrarea cu succes, victimele intră într-o secvență de atac în șase pași. Aceștia sunt presați să trimită documente de identitate ca verificare, detalii personale și informații curente de angajare. Apoi li se cere să fie de acord cu termenii și condițiile serviciului pentru a continua cu investițiile.
După efectuarea unui depozit, infractorii cibernetici oferă instrucțiuni suplimentare cu privire la instrumentele financiare în care să investească, pretinzând adesea profituri potențiale ridicate. Pentru a perpetua înșelăciunea, aplicația este manipulată pentru a afișa investițiile victimelor ca și cum ar genera profit.
Consecințele severe ale căderii pentru tactică
Problemele apar atunci când victima încearcă să-și retragă fondurile, moment în care este solicitată să plătească taxe suplimentare pentru a-și recupera investițiile inițiale și presupusele profituri. În realitate, fondurile au fost colectate și redirecționate către conturi controlate de atacatori.
O altă tactică inovatoare folosită de creatorii de malware implică încorporarea unei configurații care specifică adresa URL care găzduiește pagina de autentificare și alte detalii ale aplicației de tranzacționare falsă în cadrul aplicației. Această configurație este găzduită pe o adresă URL conectată la un serviciu legitim numit TermsFeed, care oferă software de conformitate pentru generarea de politici de confidențialitate, termeni și condiții și bannere de consimțământ pentru cookie-uri.
Prima aplicație identificată, distribuită prin Apple App Store, funcționează ca un program de descărcare care doar preia și afișează o adresă URL a aplicației web. În schimb, a doua aplicație, obținută de pe site-uri web de phishing, conține deja aplicația web în activele sale.
Cercetătorii notează că această metodă este o alegere strategică a actorilor amenințărilor, concepută pentru a reduce probabilitatea de detectare și pentru a evita declanșarea alarmelor atunci când aplicația este distribuită prin App Store.
Utilizatorii Android au fost, de asemenea, în pericol
Experții în securitate cibernetică au identificat, de asemenea, o aplicație frauduloasă de investiții în acțiuni pe Google Play Store, numită FINANS INSIGHTS (com.finans.insights). O altă aplicație asociată aceluiași dezvoltator, Ueaida Wabi, este FINANS TRADER6 (com.finans.trader).
Deși ambele aplicații Android sunt momentan inactive pe Play Store, au fost descărcate de mai puțin de 5.000 de ori. FINANS INSIGHTS a vizat în primul rând utilizatorii din Japonia, Coreea de Sud și Cambodgia, în timp ce FINANS TRADER6 era disponibil în principal în Thailanda, Japonia și Cipru.
Fii sceptic față de mesajele neașteptate
Utilizatorii sunt îndemnați să fie precauți atunci când dau clic pe linkuri și să evite să răspundă la mesajele nesolicitate de la persoane necunoscute pe rețelele sociale și platformele de întâlniri. Este esențial să verificați legitimitatea platformelor de investiții și să examinați cu atenție aplicațiile, inclusiv editorii acestora, evaluările și recenziile utilizatorilor, înainte de descărcare.
Infractorii cibernetici continuă să exploateze platforme de încredere precum Apple App Store și Google Play pentru a răspândi programe malware deghizate în aplicații legitime, profitând de încrederea utilizatorilor în aceste medii sigure. Victimele sunt atrase de promisiunile de câștiguri financiare rapide, doar pentru a descoperi că nu își pot retrage fondurile după ce au făcut investiții substanțiale. Utilizarea aplicațiilor bazate pe Web ascunde și mai mult activitatea nesigură, făcând detectarea și mai dificilă.
