UniShadowTrade
Rozsiahla podvodná operácia využívala na oklamanie obetí programy obchodovania s falzifikátmi v Apple App Store a Google Play Store spolu s phishingovými webovými stránkami. Táto schéma je súčasťou širšej taktiky spotrebiteľských investičných podvodov, kde sú potenciálne ciele vťahované do investovania do kryptomien alebo iných finančných produktov po vytvorení dôvery prostredníctvom predstierania – buď ako romantický partner alebo investičný poradca.
Tieto klamlivé a manipulatívne taktiky často vedú k tomu, že obete prídu o svoje investície a v niektorých prípadoch môžu byť donútené zaplatiť dodatočné poplatky alebo náklady. Experti na kybernetickú bezpečnosť uvádzajú, že táto podvodná kampaň sa týka viacerých regiónov, pričom obete sú hlásené v Ázii a Tichomorí, Európe, na Strednom východe a v Afrike. Podvodné aplikácie vyvinuté pomocou UniApp Framework sa súhrnne označujú ako UniShadowTrade.
Obsah
Operácia je aktívna už dosť dlho
Uvádza sa, že skupina aktivít je v prevádzke minimálne od polovice roku 2023 a láka obete na nebezpečné aplikácie, ktoré sľubujú rýchle finančné výnosy. Významným problémom je, že jednej z týchto aplikácií sa podarilo obísť proces kontroly App Store spoločnosti Apple, čím sa vytvoril falošný pocit legitimity a dôvery. Aplikácia s názvom SBI-INT bola odvtedy odstránená z trhu, ale pôvodne predstavovala softvér pre „bežne používané algebraické matematické vzorce a 3D grafický výpočet objemovej plochy“.
Predpokladá sa, že kyberzločinci to dosiahli implementáciou kontroly v zdrojovom kóde aplikácie, aby sa zistilo, či aktuálny dátum a čas boli pred 22. júlom 2024, 00:00:00. Ak áno, aplikácia zobrazí klamlivú obrazovku plnú vzorcov a grafiky. Po stiahnutí aplikácie niekoľko týždňov po spustení sa aktéri hrozieb údajne zamerali na distribúciu aplikácie prostredníctvom phishingových webových stránok pre platformy Android aj iOS.
Ako fungujú tieto škodlivé aplikácie
V prípade používateľov systému iOS kliknutím na tlačidlo sťahovania spustí sťahovanie súboru .plist, ktorý vyzve systém, aby požiadal o povolenie na inštaláciu aplikácie. Po dokončení sťahovania však aplikáciu nemožno okamžite spustiť. Kyberzločinci potom nariadia obeti, aby manuálne dôverovala profilu vývojára Enterprise. Po dokončení tohto kroku je možné podvodnú aplikáciu aktivovať.
Používateľov, ktorí pristúpia k inštalácii a otvoreniu aplikácie, privíta prihlasovacia stránka s požiadavkou na ich telefónne číslo a heslo. Proces registrácie zahŕňa zadanie pozývacieho kódu, ktorý naznačuje, že útočníci sa zameriavajú na konkrétne ciele, aby vykonali svoju taktiku.
Po úspešnej registrácii obete vstúpia do šesťstupňovej sekvencie útoku. Sú nútení predložiť doklady totožnosti ako overenie, osobné údaje a aktuálne informácie o zamestnaní. Potom sú požiadaní, aby súhlasili s podmienkami služby, aby mohli pokračovať vo svojich investíciách.
Po vykonaní vkladu kyberzločinci poskytnú ďalšie pokyny, do ktorých finančných nástrojov investovať, pričom často požadujú vysoké potenciálne výnosy. Na zachovanie podvodu je aplikácia manipulovaná tak, aby zobrazovala investície obetí, ako keby generovali zisky.
Ťažké dôsledky pádu pre taktiku
Problémy nastávajú, keď sa obeť pokúša vybrať svoje prostriedky, kedy sú vyzvaní zaplatiť dodatočné poplatky, aby získali späť svoje počiatočné investície a predpokladané zisky. V skutočnosti boli prostriedky zhromaždené a presmerované na účty kontrolované útočníkmi.
Ďalšia inovatívna taktika, ktorú používajú tvorcovia škodlivého softvéru, zahŕňa vloženie konfigurácie, ktorá špecifikuje adresu URL hosťujúcej prihlasovaciu stránku a ďalšie podrobnosti o falošnej obchodnej aplikácii v rámci aplikácie. Táto konfigurácia je hosťovaná na adrese URL prepojenej s legitímnou službou s názvom TermsFeed, ktorá poskytuje softvér na zabezpečenie súladu s predpismi na generovanie zásad ochrany osobných údajov, zmluvných podmienok a bannerov so súhlasom so súbormi cookie.
Prvá identifikovaná aplikácia, distribuovaná prostredníctvom Apple App Store, funguje ako downloader, ktorý iba načíta a zobrazí URL webovej aplikácie. Naproti tomu druhá aplikácia získaná z phishingových webových stránok už webovú aplikáciu obsahuje vo svojich aktívach.
Výskumníci poznamenávajú, že táto metóda je strategickou voľbou aktérov hrozby, ktorá je navrhnutá tak, aby znížila pravdepodobnosť odhalenia a zabránila spusteniu alarmov pri distribúcii aplikácie prostredníctvom App Store.
Ohrození boli aj používatelia systému Android
Odborníci na kybernetickú bezpečnosť tiež identifikovali podvodnú aplikáciu na investovanie do akcií v obchode Google Play s názvom FINANS INSIGHTS (com.finans.insights). Ďalšia aplikácia spojená s rovnakým vývojárom, Ueaida Wabi, je FINANS TRADER6 (com.finans.trader).
Hoci sú obe aplikácie pre Android momentálne v Obchode Play neaktívne, stiahli si ich menej ako 5 000-krát. FINANS INSIGHTS sa primárne zameral na používateľov v Japonsku, Južnej Kórei a Kambodži, zatiaľ čo FINANS TRADER6 bol dostupný hlavne v Thajsku, Japonsku a na Cypre.
Buďte skeptickí voči neočakávaným správam
Používateľov vyzývame, aby boli opatrní pri klikaní na odkazy a vyhýbali sa odpovedaniu na nevyžiadané správy od neznámych jednotlivcov na sociálnych sieťach a zoznamovacích platformách. Pred stiahnutím je nevyhnutné overiť legitímnosť investičných platforiem a starostlivo preskúmať aplikácie vrátane ich vydavateľov, hodnotení a používateľských recenzií.
Kyberzločinci naďalej využívajú dôveryhodné platformy ako Apple App Store a Google Play na šírenie malvéru maskovaného ako legitímne aplikácie, pričom využívajú dôveru používateľov v tieto bezpečné prostredia. Obete sú priťahované prísľubmi rýchlych finančných ziskov, len aby zistili, že po veľkých investíciách nemôžu vybrať svoje prostriedky. Používanie webových aplikácií ďalej zakrýva nebezpečnú aktivitu, čím sa detekcia stáva ešte náročnejšou.
