UniShadowTrade
Široko razširjena goljufija je za goljufanje žrtev uporabila programe trgovanja s ponarejenimi izdelki v trgovinah Apple App Store in Google Play Store ter spletnih mestih z lažnim predstavljanjem. Ta shema je del širše taktike goljufij pri naložbah potrošnikov, kjer so potencialne tarče pritegnjene k vlaganju v kriptovalute ali druge finančne produkte, potem ko s pretvarjanjem vzpostavijo zaupanje – bodisi kot romantični partner ali svetovalec za naložbe.
Te zavajajoče in manipulativne taktike pogosto povzročijo, da žrtve izgubijo svoje naložbe, v nekaterih primerih pa so lahko prisiljene plačati dodatne pristojbine ali stroške. Strokovnjaki za kibernetsko varnost navajajo, da ta goljufiva kampanja zajema več regij, o žrtvah pa poročajo v azijsko-pacifiški regiji, Evropi, na Bližnjem vzhodu in v Afriki. Goljufive aplikacije, razvite z uporabo UniApp Framework, se skupaj imenujejo UniShadowTrade.
Kazalo
Operacija je bila aktivna že kar nekaj časa
Poroča se, da grozd dejavnosti deluje vsaj od sredine leta 2023 in privablja žrtve z nevarnimi aplikacijami, ki obljubljajo hitre finančne donose. Pomemben pomislek je, da je eni od teh aplikacij uspelo zaobiti postopek pregleda Applove trgovine App Store, kar je ustvarilo lažen občutek legitimnosti in zaupanja. Aplikacija, imenovana SBI-INT, je bila od takrat odstranjena s trga, vendar je bila prvotno predstavljena kot programska oprema za "splošno uporabljene algebraične matematične formule in izračun prostornine 3D grafike."
Domneva se, da so kiberkriminalci to dosegli z izvajanjem preverjanja znotraj izvorne kode aplikacije, da bi ugotovili, ali sta bila trenutni datum in čas pred 22. julijem 2024, 00:00:00. V tem primeru bi aplikacija prikazala zavajajoč zaslon, napolnjen s formulami in grafiko. Potem ko je bila aplikacija nekaj tednov po lansiranju ukinjena, so se akterji groženj domnevno preusmerili na distribucijo aplikacije prek lažnih spletnih mest za platformi Android in iOS.
Kako te škodljive aplikacije delujejo
Za uporabnike iOS-a klik na gumb za prenos sproži prenos datoteke .plist, ki sistem pozove, da zahteva dovoljenje za namestitev aplikacije. Ko pa je prenos končan, aplikacije ni mogoče takoj zagnati. Kibernetski kriminalci nato žrtvi ukažejo, naj ročno zaupa profilu razvijalca Enterprise. Ko je ta korak končan, se lahko goljufiva aplikacija aktivira.
Uporabnike, ki nadaljujejo z namestitvijo in odpiranjem aplikacije, pozdravi stran za prijavo, ki zahteva njihovo telefonsko številko in geslo. Postopek registracije vključuje vnos kode povabila, ki nakazuje, da se napadalci osredotočajo na določene cilje, da bi izvedli svojo taktiko.
Po uspešni registraciji žrtve vstopijo v zaporedje napada v šestih korakih. Pritiskajo jih, naj predložijo osebne dokumente kot potrditev, osebne podatke in podatke o trenutni zaposlitvi. Nato se od njih zahteva, da se strinjajo s pogoji in določili storitve, da lahko nadaljujejo s svojimi naložbami.
Po opravljenem depozitu kibernetski kriminalci zagotovijo dodatna navodila, v katere finančne instrumente naj vlagajo, pri čemer pogosto zahtevajo visoke potencialne donose. Da bi ohranili goljufijo, se z aplikacijo manipulira tako, da prikaže naložbe žrtev, kot da ustvarjajo dobiček.
Hude posledice nasedanja taktiki
Težave nastanejo, ko žrtev poskuša dvigniti svoja sredstva, pri čemer mora plačati dodatne provizije za povrnitev svojih začetnih naložb in domnevnih dobičkov. V resnici so bila sredstva zbrana in preusmerjena na račune, ki jih nadzorujejo napadalci.
Druga inovativna taktika, ki jo uporabljajo ustvarjalci zlonamerne programske opreme, vključuje vdelavo konfiguracije, ki določa URL, ki gosti stran za prijavo, in druge podrobnosti lažne aplikacije za trgovanje znotraj aplikacije. Ta konfiguracija gostuje na URL-ju, povezanem z zakonito storitvijo, imenovano TermsFeed, ki ponuja programsko opremo za skladnost za ustvarjanje pravilnikov o zasebnosti, pogojev in določil ter pasic za soglasje za piškotke.
Prva ugotovljena aplikacija, distribuirana prek Apple App Store, deluje kot prenosnik, ki samo pridobi in prikaže URL spletne aplikacije. Nasprotno pa druga aplikacija, pridobljena s spletnih mest z lažnim predstavljanjem, že vsebuje spletno aplikacijo v svojih sredstvih.
Raziskovalci ugotavljajo, da je ta metoda strateška izbira akterjev groženj, zasnovana tako, da zmanjša verjetnost odkrivanja in prepreči sprožitev alarmov, ko se aplikacija distribuira prek App Store.
Ogroženi so bili tudi uporabniki Androida
Strokovnjaki za kibernetsko varnost so v trgovini Google Play odkrili tudi goljufivo aplikacijo za naložbe v delnice z imenom FINANS INSIGHTS (com.finans.insights). Druga aplikacija, povezana z istim razvijalcem, Ueaido Wabi, je FINANS TRADER6 (com.finans.trader).
Čeprav obe aplikaciji za Android trenutno nista aktivni v Trgovini Play, sta bili preneseni manj kot 5000-krat. FINANS INSIGHTS je bil namenjen predvsem uporabnikom na Japonskem, v Južni Koreji in Kambodži, medtem ko je bil FINANS TRADER6 na voljo predvsem na Tajskem, Japonskem in Cipru.
Bodite skeptični do nepričakovanih sporočil
Uporabnike pozivamo, naj bodo previdni pri klikanju povezav in naj se izogibajo odgovarjanju na nezaželena sporočila neznanih posameznikov na družbenih medijih in platformah za zmenke. Bistvenega pomena je, da pred prenosom preverite legitimnost naložbenih platform in skrbno pregledate aplikacije, vključno z njihovimi založniki, ocenami in ocenami uporabnikov.
Kibernetski kriminalci še naprej izkoriščajo zaupanja vredne platforme, kot sta Apple App Store in Google Play, za širjenje zlonamerne programske opreme, preoblečene v zakonite aplikacije, in izkoriščajo zaupanje uporabnikov v ta varna okolja. Žrtve pritegnejo obljube o hitrih finančnih dobičkih, nato pa ugotovijo, da po znatnih naložbah ne morejo dvigniti svojih sredstev. Uporaba spletnih aplikacij dodatno zakrije nevarno dejavnost, zaradi česar je odkrivanje še večji izziv.
