УниСхадовТраде
Широко распрострањена операција преваре користила је фалсификоване програме за трговину на Аппле Апп Сторе-у и Гоогле Плаи Сторе-у, заједно са пхисхинг веб локацијама, како би обманула жртве. Ова шема је део шире тактике преваре у вези са инвестицијама потрошача, где се потенцијалне мете увлаче у улагање у криптовалуте или друге финансијске производе након успостављања поверења путем претварања – било као романтични партнер или инвестициони саветник.
Ове обмањујуће и манипулативне тактике често доводе до тога да жртве губе своја улагања, ау неким случајевима могу бити под притиском да плате додатне накнаде или трошкове. Стручњаци за сајбер безбедност указују на то да ова лажна кампања обухвата више региона, а жртве су пријављене у азијско-пацифичком региону, Европи, Блиском истоку и Африци. Лажне апликације, развијене коришћењем УниАпп Фрамеворк-а, заједнички се називају УниСхадовТраде.
Преглед садржаја
Операција је била активна већ дуже време
Извештава се да је кластер активности оперативан најмање од средине 2023. године, привлачећи жртве несигурним апликацијама које обећавају брзе финансијске поврате. Значајна забринутост је што је једна од ових апликација успела да заобиђе Апплеов Апп Сторе процес прегледа, стварајући лажни осећај легитимности и поверења. Апликација, названа СБИ-ИНТ, од тада је уклоњена са тржишта, али је првобитно представљала софтвер за „уобичајено коришћене алгебарске математичке формуле и израчунавање запремине 3Д графике“.
Верује се да су сајбер криминалци то постигли спровођењем провере у изворном коду апликације да би се утврдило да ли су тренутни датум и време били пре 22. јула 2024, 00:00:00. Ако је тако, апликација би приказала обмањујући екран испуњен формулама и графиком. Након што је апликација уклоњена неколико недеља након лансирања, актери претњи су наводно преусмерили свој фокус на дистрибуцију апликације преко пхисхинг веб локација за Андроид и иОС платформе.
Како функционишу ове штетне апликације
За кориснике иОС-а, кликом на дугме за преузимање покреће се преузимање .плист датотеке, што захтева од система да затражи дозволу за инсталирање апликације. Међутим, након што се преузимање заврши, апликација се не може одмах покренути. Сајбер криминалци затим упућују жртву да ручно верује профилу програмера предузећа. Када се овај корак заврши, лажна апликација се може активирати.
Кориснике који наставе да инсталирају и отворе апликацију дочекује страница за пријаву која захтева њихов број телефона и лозинку. Процес регистрације укључује уношење позивног кода, који указује да се нападачи фокусирају на одређене мете како би извршили своју тактику.
Након успешне регистрације, жртве улазе у секвенцу напада од шест корака. На њих се врши притисак да доставе личне документе као верификацију, личне податке и тренутне податке о запослењу. Затим се од њих тражи да пристану на одредбе и услове услуге како би наставили са својим инвестицијама.
Након уплате депозита, сајбер криминалци дају додатна упутства о томе у које финансијске инструменте да инвестирају, често захтевајући висок потенцијални принос. Да би се ова обмана наставила, апликација се манипулише да прикаже улагања жртава као да стварају профит.
Тешке последице пада на тактику
Проблеми настају када жртва покуша да повуче своја средства, у ком тренутку од ње се тражи да плати додатне накнаде како би повратила своја почетна улагања и наводни профит. У стварности, средства су прикупљена и преусмерена на рачуне које контролишу нападачи.
Још једна иновативна тактика коју користе креатори злонамерног софтвера укључује уграђивање конфигурације која наводи УРЛ адресу на којој се налази страница за пријаву и друге детаље лажне апликације за трговање у оквиру апликације. Ова конфигурација се налази на УРЛ адреси повезаној са легитимном услугом под називом ТермсФеед, која обезбеђује софтвер за усаглашеност за генерисање политика приватности, услова и одредби и банера за сагласност за колачиће.
Прва идентификована апликација, дистрибуирана преко Аппле Апп Сторе-а, функционише као програм за преузимање који само преузима и приказује УРЛ веб-апликације. Насупрот томе, друга апликација, добијена са пхисхинг веб локација, већ садржи веб апликацију у оквиру својих средстава.
Истраживачи примећују да је овај метод стратешки избор актера претњи, дизајниран да смањи вероватноћу откривања и избегне активирање аларма када се апликација дистрибуира преко Апп Сторе-а.
Корисници Андроид-а су такође били у опасности
Стручњаци за сајбер безбедност су такође идентификовали лажну апликацију за улагање у акције у Гоогле Плаи продавници под називом ФИНАНС ИНСИГХТС (цом.финанс.инсигхтс). Друга апликација повезана са истим програмером, Уеаида Ваби, је ФИНАНС ТРАДЕР6 (цом.финанс.традер).
Иако су обе Андроид апликације тренутно неактивне у Плаи продавници, преузете су мање од 5.000 пута. ФИНАНС ИНСИГХТС је првенствено циљао кориснике у Јапану, Јужној Кореји и Камбоџи, док је ФИНАНС ТРАДЕР6 углавном био доступан на Тајланду, Јапану и Кипру.
Будите скептични према неочекиваним порукама
Корисници се позивају да буду опрезни када кликну на линкове и да избегавају да одговарају на нежељене поруке непознатих појединаца на друштвеним мрежама и платформама за упознавање. Неопходно је проверити легитимност инвестиционих платформи и пажљиво испитати апликације, укључујући њихове издаваче, оцене и рецензије корисника, пре преузимања.
Сајбер криминалци настављају да експлоатишу поуздане платформе као што су Аппле Апп Сторе и Гоогле Плаи за ширење малвера прерушеног у легитимне апликације, користећи предност поверења корисника у ова безбедна окружења. Жртве привлаче обећања о брзој финансијској добити, да би открила да не могу да повуку своја средства након значајних улагања. Коришћење апликација заснованих на вебу додатно прикрива небезбедну активност, чинећи откривање још изазовнијим.
