UniShadowTrade
En utbredd bedrägeriverksamhet har använt förfalskade handelsprogram på Apple App Store och Google Play Store, tillsammans med nätfiskewebbplatser, för att lura offer. Detta system är en del av en bredare taktik för konsumentinvesteringsbedrägeri, där potentiella mål dras in i investeringar i kryptovalutor eller andra finansiella produkter efter att ha etablerat förtroende genom sken av – antingen som en romantisk partner eller en investeringsrådgivare.
Dessa bedrägliga och manipulativa taktiker leder ofta till att offer förlorar sina investeringar, och i vissa fall kan de tvingas att betala ytterligare avgifter eller kostnader. Cybersäkerhetsexperter indikerar att denna bedrägliga kampanj sträcker sig över flera regioner, med offer rapporterade i Asien-Stillahavsområdet, Europa, Mellanöstern och Afrika. De bedrägliga applikationerna, utvecklade med hjälp av UniApp Framework, kallas gemensamt för UniShadowTrade.
Innehållsförteckning
Operationen har varit aktiv ett bra tag
Aktivitetsklustret rapporteras ha varit i drift sedan åtminstone mitten av 2023, och lockat offer med osäkra applikationer som lovar snabb ekonomisk avkastning. En betydande oro är att en av dessa appar lyckades kringgå Apples App Store-granskningsprocess, vilket skapade en falsk känsla av legitimitet och förtroende. Applikationen, som heter SBI-INT, har sedan dess tagits bort från marknaden men poserade först som programvara för "vanligt använda algebraiska matematiska formler och 3D-grafikvolymareaberäkning."
Man tror att cyberbrottslingarna uppnådde detta genom att implementera en kontroll i applikationens källkod för att avgöra om det aktuella datumet och tiden var före den 22 juli 2024, 00:00:00. Om så är fallet skulle appen visa en vilseledande skärm fylld med formler och grafik. Efter att appen togs ner några veckor efter lanseringen har hotaktörerna enligt uppgift flyttat fokus till att distribuera appen via nätfiskewebbplatser för både Android- och iOS-plattformar.
Hur dessa skadliga applikationer fungerar
För iOS-användare, klicka på nedladdningsknappen initierar nedladdningen av en .plist-fil, vilket uppmanar systemet att begära tillåtelse att installera programmet. Men efter att nedladdningen är klar kan applikationen inte startas omedelbart. Cyberbrottslingar instruerar sedan offret att lita på Enterprise-utvecklarprofilen manuellt. När detta steg är slutfört kan den bedrägliga applikationen aktiveras.
Användare som fortsätter att installera och öppna applikationen möts av en inloggningssida som begär deras telefonnummer och lösenord. Registreringsprocessen inkluderar att ange en inbjudningskod, som indikerar att angriparna fokuserar på specifika mål för att utföra sin taktik.
Efter framgångsrik registrering går offren in i en sexstegs attacksekvens. De pressas att lämna in identitetshandlingar som verifiering, personliga uppgifter och aktuell anställningsinformation. De uppmanas sedan att godkänna tjänstens villkor för att fortsätta med sina investeringar.
Efter att ha gjort en insättning ger cyberbrottslingarna ytterligare instruktioner om vilka finansiella instrument de ska investera i, ofta med hög potentiell avkastning. För att vidmakthålla bedrägeriet manipuleras applikationen för att visa offrens investeringar som om de genererar vinster.
Allvarliga konsekvenser av att falla för taktiken
Problem uppstår när offret försöker ta ut sina pengar, då de uppmanas att betala ytterligare avgifter för att få tillbaka sina initiala investeringar och förmodade vinster. I verkligheten har medlen samlats in och omdirigerats till konton som kontrolleras av angriparna.
En annan innovativ taktik som används av skaparna av skadlig kod involverar att bädda in en konfiguration som anger webbadressen som är värd för inloggningssidan och andra detaljer om den falska handelsapplikationen i applikationen. Denna konfiguration är värd på en URL länkad till en legitim tjänst som heter TermsFeed, som tillhandahåller efterlevnadsprogramvara för att generera sekretesspolicyer, villkor och banners för cookies med samtycke.
Den första identifierade applikationen, distribuerad via Apple App Store, fungerar som en nedladdningsare som bara hämtar och visar en webbapp-URL. Däremot innehåller den andra applikationen, erhållen från nätfiskewebbplatser, redan webbappen i sina tillgångar.
Forskare noterar att denna metod är ett strategiskt val av hotaktörerna, utformad för att minska sannolikheten för upptäckt och undvika att utlösa larm när appen distribueras via App Store.
Android-användare var också i riskzonen
Cybersäkerhetsexperter identifierade också en bedräglig aktieinvesteringsapplikation på Google Play Store med namnet FINANS INSIGHTS (com.finans.insights). En annan applikation som är associerad med samma utvecklare, Ueaida Wabi, är FINANS TRADER6 (com.finans.trader).
Även om båda Android-apparna för närvarande är inaktiva i Play Butik, laddades de ner färre än 5 000 gånger. FINANS INSIGHTS riktade sig främst till användare i Japan, Sydkorea och Kambodja, medan FINANS TRADER6 huvudsakligen var tillgängligt i Thailand, Japan och Cypern.
Var skeptisk till oväntade meddelanden
Användare uppmanas att vara försiktiga när de klickar på länkar och att undvika att svara på oönskade meddelanden från obekanta individer på sociala medier och dejtingplattformar. Det är viktigt att verifiera investeringsplattformarnas legitimitet och noggrant undersöka appar, inklusive deras utgivare, betyg och användarrecensioner, innan de laddas ned.
Cyberbrottslingar fortsätter att utnyttja pålitliga plattformar som Apple App Store och Google Play för att sprida skadlig programvara förklädd till legitima applikationer och dra nytta av användarnas förtroende för dessa säkra miljöer. Offren lockas av löften om snabba ekonomiska vinster, bara för att upptäcka att de inte kan ta ut sina pengar efter att ha gjort betydande investeringar. Användningen av webbaserade applikationer döljer ytterligare den osäkra aktiviteten, vilket gör upptäckten ännu mer utmanande.
