UniShadowTrade
Një operacion i përhapur mashtrimi ka përdorur programe të falsifikuara tregtare në Apple App Store dhe Google Play Store, së bashku me faqet e internetit të phishing, për të mashtruar viktimat. Kjo skemë është pjesë e një taktike më të gjerë të mashtrimit të investimeve të konsumatorit, ku objektivat e mundshëm tërhiqen për të investuar në kriptovaluta ose produkte të tjera financiare pas krijimit të besimit përmes shtirjes - qoftë si një partner romantik ose një këshilltar investimesh.
Këto taktika mashtruese dhe manipuluese shpesh rezultojnë në humbjen e investimeve të viktimave dhe në disa raste, atyre mund t'u bëhet presion për të paguar tarifa ose kosto shtesë. Ekspertët e sigurisë kibernetike tregojnë se kjo fushatë mashtruese përfshin rajone të shumta, me viktima të raportuara në Azi-Paqësor, Evropë, Lindjen e Mesme dhe Afrikë. Aplikacionet mashtruese, të zhvilluara duke përdorur UniApp Framework, quhen kolektivisht si UniShadowTrade.
Tabela e Përmbajtjes
Operacioni ka qenë aktiv për një kohë të gjatë
Grupi i aktiviteteve raportohet të ketë qenë funksional që të paktën nga mesi i vitit 2023, duke tërhequr viktimat me aplikacione të pasigurta që premtojnë kthime të shpejta financiare. Një shqetësim i rëndësishëm është se një nga këto aplikacione arriti të anashkalojë procesin e shqyrtimit të App Store të Apple, duke krijuar një ndjenjë të rreme legjitimiteti dhe besimi. Aplikacioni, i quajtur SBI-INT, që atëherë është hequr nga tregu, por fillimisht është paraqitur si softuer për 'formula matematikore algjebrike të përdorura zakonisht dhe llogaritjen e sipërfaqes së vëllimit të grafikës 3D'.
Besohet se kriminelët kibernetikë e arritën këtë duke zbatuar një kontroll brenda kodit burimor të aplikacionit për të përcaktuar nëse data dhe ora aktuale ishin përpara datës 22 korrik 2024, ora 00:00:00. Nëse po, aplikacioni do të shfaqte një ekran mashtrues të mbushur me formula dhe grafika. Pasi aplikacioni u hoq disa javë pas lançimit, aktorët e kërcënimit thuhet se e zhvendosën fokusin e tyre në shpërndarjen e aplikacionit përmes faqeve të internetit të phishing për platformat Android dhe iOS.
Si funksionojnë këto aplikacione të dëmshme
Për përdoruesit e iOS, klikimi i butonit të shkarkimit fillon shkarkimin e një skedari .plist, i cili nxit sistemin të kërkojë leje për të instaluar aplikacionin. Sidoqoftë, pasi të përfundojë shkarkimi, aplikacioni nuk mund të hapet menjëherë. Kriminelët kibernetikë më pas e udhëzojnë viktimën që t'i besojë manualisht profilin e zhvilluesit të Ndërmarrjes. Pasi të përfundojë ky hap, aplikacioni mashtrues mund të aktivizohet.
Përdoruesit që vazhdojnë të instalojnë dhe hapin aplikacionin priten nga një faqe identifikimi që kërkon numrin e tyre të telefonit dhe fjalëkalimin. Procesi i regjistrimit përfshin futjen e një kodi ftese, që tregon se sulmuesit janë duke u fokusuar në objektiva specifike për të ekzekutuar taktikën e tyre.
Pas regjistrimit të suksesshëm, viktimat hyjnë në një sekuencë sulmi me gjashtë hapa. Atyre u bëhet presion që të paraqesin dokumente identiteti si verifikim, detaje personale dhe informacion aktual të punësimit. Më pas atyre u kërkohet të pajtohen me termat dhe kushtet e shërbimit për të vazhduar me investimet e tyre.
Pas bërjes së një depozite, kriminelët kibernetikë ofrojnë udhëzime shtesë se në cilat instrumente financiare të investojnë, shpesh duke pretenduar kthime të larta potenciale. Për të përjetësuar mashtrimin, aplikacioni manipulohet për të shfaqur investimet e viktimave sikur po gjenerojnë fitime.
Pasojat e rënda të rënies për taktikën
Problemet lindin kur viktima përpiqet të tërheqë fondet e saj, në të cilën pikë ata nxiten të paguajnë tarifa shtesë për të rikuperuar investimet e tyre fillestare dhe fitimet e supozuara. Në realitet, fondet janë mbledhur dhe ridrejtuar në llogaritë e kontrolluara nga sulmuesit.
Një tjetër taktikë inovative e përdorur nga krijuesit e malware përfshin futjen e një konfigurimi që specifikon URL-në që pret faqen e hyrjes dhe detaje të tjera të aplikacionit të tregtimit të rremë brenda aplikacionit. Ky konfigurim është i vendosur në një URL të lidhur me një shërbim legjitim të quajtur TermsFeed, i cili ofron softuer të pajtueshmërisë për gjenerimin e politikave të privatësisë, termave dhe kushteve dhe banderolave të pëlqimit për kuki.
Aplikacioni i parë i identifikuar, i shpërndarë përmes Apple App Store, funksionon si një shkarkues që thjesht merr dhe shfaq një URL të aplikacionit në ueb. Në të kundërt, aplikacioni i dytë, i marrë nga faqet e internetit të phishing, tashmë përmban aplikacionin në internet brenda aseteve të tij.
Studiuesit vërejnë se kjo metodë është një zgjedhje strategjike nga aktorët e kërcënimit, e krijuar për të zvogëluar gjasat e zbulimit dhe për të shmangur ndezjen e alarmeve kur aplikacioni shpërndahet përmes App Store.
Përdoruesit e Android ishin gjithashtu në rrezik
Ekspertët e sigurisë kibernetike identifikuan gjithashtu një aplikacion mashtrues për investime në aksione në Dyqanin Google Play të quajtur FINANS INSIGHTS (com.finans.insights). Një tjetër aplikacion i lidhur me të njëjtin zhvillues, Ueaida Wabi, është FINANS TRADER6 (com.finans.trader).
Megjithëse të dy aplikacionet Android janë aktualisht joaktive në Play Store, ato janë shkarkuar më pak se 5000 herë. FINANS INSIGHTS synonte kryesisht përdoruesit në Japoni, Korenë e Jugut dhe Kamboxhia, ndërsa FINANS TRADER6 ishte kryesisht në dispozicion në Tajlandë, Japoni dhe Qipro.
Jini skeptik ndaj mesazheve të papritura
Përdoruesve u kërkohet të jenë të kujdesshëm kur klikojnë në lidhje dhe të shmangin përgjigjen ndaj mesazheve të pakërkuara nga individë të panjohur në mediat sociale dhe platformat e takimeve. Është thelbësore të verifikohet legjitimiteti i platformave të investimit dhe të ekzaminohen me kujdes aplikacionet, duke përfshirë botuesit e tyre, vlerësimet dhe vlerësimet e përdoruesve, përpara se të shkarkohen.
Kriminelët kibernetikë vazhdojnë të shfrytëzojnë platforma të besuara si Apple App Store dhe Google Play për të përhapur malware të maskuar si aplikacione legjitime, duke përfituar nga besimi i përdoruesve në këto mjedise të sigurta. Viktimat tërhiqen nga premtimet për përfitime të shpejta financiare, vetëm për të zbuluar se nuk mund të tërheqin fondet e tyre pasi kanë bërë investime të konsiderueshme. Përdorimi i aplikacioneve të bazuara në ueb errëson më tej aktivitetin e pasigurt, duke e bërë zbulimin edhe më sfidues.
