UniShadowTrade
Широко распространенная мошенническая операция использовала поддельные торговые программы в Apple App Store и Google Play Store, а также фишинговые веб-сайты, чтобы обмануть жертв. Эта схема является частью более широкой тактики мошенничества с потребительскими инвестициями, когда потенциальные цели вовлекаются в инвестирование в криптовалюты или другие финансовые продукты после установления доверия посредством притворства — либо в качестве романтического партнера, либо инвестиционного консультанта.
Эти обманные и манипулятивные приемы часто приводят к тому, что жертвы теряют свои инвестиции, а в некоторых случаях их могут заставить платить дополнительные сборы или расходы. Эксперты по кибербезопасности указывают, что эта мошенническая кампания охватывает несколько регионов, жертвы зарегистрированы в Азиатско-Тихоокеанском регионе, Европе, на Ближнем Востоке и в Африке. Мошеннические приложения, разработанные с использованием UniApp Framework, в совокупности именуются UniShadowTrade.
Оглавление
Операция проводится уже довольно давно
Сообщается, что кластер активности функционирует по крайней мере с середины 2023 года, заманивая жертв небезопасными приложениями, обещающими быструю финансовую отдачу. Серьезную обеспокоенность вызывает то, что одно из этих приложений сумело обойти процесс проверки в App Store компании Apple, создав ложное чувство легитимности и доверия. Приложение под названием SBI-INT с тех пор было удалено с рынка, но изначально позиционировалось как программное обеспечение для «общеупотребительных алгебраических математических формул и расчета площади трехмерной графики».
Предполагается, что киберпреступники добились этого, внедрив проверку в исходный код приложения, чтобы определить, были ли текущая дата и время до 22 июля 2024 года, 00:00:00. Если это так, приложение отображало бы обманчивый экран, заполненный формулами и графикой. После того, как приложение было закрыто через несколько недель после запуска, злоумышленники, как сообщается, переключили свое внимание на распространение приложения через фишинговые веб-сайты для платформ Android и iOS.
Как работают эти вредоносные приложения
Для пользователей iOS нажатие кнопки загрузки инициирует загрузку файла .plist, который предлагает системе запросить разрешение на установку приложения. Однако после завершения загрузки приложение не может быть немедленно запущено. Затем киберпреступники просят жертву вручную доверять профилю разработчика Enterprise. После завершения этого шага мошенническое приложение может быть активировано.
Пользователи, которые приступают к установке и открытию приложения, приветствуются страницей входа, которая запрашивает их номер телефона и пароль. Процесс регистрации включает ввод кода приглашения, указывающего на то, что злоумышленники сосредоточены на определенных целях для реализации своей тактики.
После успешной регистрации жертвы проходят последовательность из шести шагов атаки. Их заставляют предоставить документы, удостоверяющие личность, для проверки, личные данные и информацию о текущей занятости. Затем их просят согласиться с условиями сервиса, чтобы продолжить инвестирование.
После внесения депозита киберпреступники предоставляют дополнительные инструкции о том, в какие финансовые инструменты инвестировать, часто заявляя о высокой потенциальной прибыли. Чтобы закрепить обман, приложение манипулируют, чтобы отображать инвестиции жертв, как будто они приносят прибыль.
Серьёзные последствия попадания на эту тактику
Проблемы возникают, когда жертва пытается вывести свои средства, и в этот момент ей предлагают заплатить дополнительные сборы, чтобы вернуть свои первоначальные инвестиции и предполагаемую прибыль. На самом деле средства были собраны и перенаправлены на счета, контролируемые злоумышленниками.
Другая инновационная тактика, используемая создателями вредоносного ПО, заключается в внедрении конфигурации, которая указывает URL-адрес, на котором размещена страница входа в систему, и другие детали поддельного торгового приложения в приложении. Эта конфигурация размещена на URL-адресе, связанном с легитимным сервисом под названием TermsFeed, который предоставляет программное обеспечение для обеспечения соответствия требованиям для создания политик конфиденциальности, положений и условий и баннеров согласия на использование файлов cookie.
Первое идентифицированное приложение, распространяемое через Apple App Store, функционирует как загрузчик, который просто извлекает и отображает URL веб-приложения. Напротив, второе приложение, полученное с фишинговых веб-сайтов, уже содержит веб-приложение в своих активах.
Исследователи отмечают, что этот метод является стратегическим выбором злоумышленников, призванным снизить вероятность обнаружения и избежать срабатывания тревожных сигналов при распространении приложения через App Store.
Пользователи Android также подвергались риску
Эксперты по кибербезопасности также обнаружили мошенническое приложение для инвестирования в акции в магазине Google Play под названием FINANS INSIGHTS (com.finans.insights). Другое приложение, связанное с тем же разработчиком, Ueaida Wabi, — FINANS TRADER6 (com.finans.trader).
Хотя оба приложения Android в настоящее время неактивны в Play Store, их загрузили менее 5000 раз. FINANS INSIGHTS в первую очередь ориентировался на пользователей в Японии, Южной Корее и Камбодже, тогда как FINANS TRADER6 был доступен в основном в Таиланде, Японии и на Кипре.
Будьте скептически настроены к неожиданным сообщениям
Пользователям настоятельно рекомендуется быть осторожными при переходе по ссылкам и избегать ответа на нежелательные сообщения от незнакомых людей в социальных сетях и на платформах знакомств. Важно проверять легитимность инвестиционных платформ и тщательно проверять приложения, включая их издателей, рейтинги и отзывы пользователей, перед загрузкой.
Киберпреступники продолжают использовать надежные платформы, такие как Apple App Store и Google Play, для распространения вредоносного ПО, замаскированного под легитимные приложения, пользуясь доверием пользователей к этим безопасным средам. Жертвы привлекаются обещаниями быстрой финансовой выгоды, но обнаруживают, что не могут вывести свои средства после внесения существенных инвестиций. Использование веб-приложений еще больше скрывает небезопасную деятельность, что еще больше усложняет обнаружение.
