ยูนิชาโดว์เทรด
ปฏิบัติการฉ้อโกงที่แพร่หลายได้ใช้โปรแกรมซื้อขายของปลอมบน Apple App Store และ Google Play Store ร่วมกับเว็บไซต์ฟิชชิ่งเพื่อหลอกลวงเหยื่อ แผนการนี้เป็นส่วนหนึ่งของกลวิธีการฉ้อโกงการลงทุนของผู้บริโภคในวงกว้าง โดยที่เป้าหมายที่เป็นไปได้จะถูกดึงดูดให้ลงทุนในสกุลเงินดิจิทัลหรือผลิตภัณฑ์ทางการเงินอื่นๆ หลังจากสร้างความไว้วางใจผ่านการแสร้งทำเป็น ไม่ว่าจะเป็นคู่รักหรือที่ปรึกษาด้านการลงทุน
กลวิธีที่หลอกลวงและบิดเบือนเหล่านี้มักส่งผลให้เหยื่อสูญเสียการลงทุน และในบางกรณี เหยื่ออาจถูกกดดันให้จ่ายค่าธรรมเนียมหรือค่าใช้จ่ายเพิ่มเติม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุว่าแคมเปญหลอกลวงนี้ขยายไปในหลายภูมิภาค โดยมีรายงานเหยื่ออยู่ในเอเชียแปซิฟิก ยุโรป ตะวันออกกลาง และแอฟริกา แอปพลิเคชันหลอกลวงที่พัฒนาโดยใช้ UniApp Framework เรียกรวมกันว่า UniShadowTrade
สารบัญ
ปฏิบัติการดังกล่าวได้ดำเนินการมาระยะหนึ่งแล้ว
มีรายงานว่าคลัสเตอร์กิจกรรมดังกล่าวได้ดำเนินการมาตั้งแต่ช่วงกลางปี 2023 เป็นอย่างน้อย โดยล่อเหยื่อด้วยแอปพลิเคชันที่ไม่ปลอดภัยซึ่งสัญญาว่าจะให้ผลตอบแทนทางการเงินอย่างรวดเร็ว ปัญหาสำคัญประการหนึ่งคือแอปพลิเคชันเหล่านี้สามารถผ่านขั้นตอนการตรวจสอบของ App Store ของ Apple ได้ ทำให้เกิดความรู้สึกผิดๆ ว่าถูกต้องและน่าเชื่อถือ แอปพลิเคชันที่มีชื่อว่า SBI-INT ได้ถูกลบออกจากตลาดแล้ว แต่เดิมแอบอ้างว่าเป็นซอฟต์แวร์สำหรับ "สูตรคณิตศาสตร์พีชคณิตที่ใช้กันทั่วไปและการคำนวณพื้นที่ปริมาตรกราฟิก 3 มิติ"
เชื่อกันว่าอาชญากรไซเบอร์ทำสำเร็จโดยการตรวจสอบภายในโค้ดต้นทางของแอปพลิเคชันเพื่อตรวจสอบว่าวันที่และเวลาปัจจุบันอยู่ก่อนวันที่ 22 กรกฎาคม 2024 เวลา 00:00:00 น. หรือไม่ หากเป็นเช่นนั้น แอปพลิเคชันจะแสดงหน้าจอหลอกลวงที่เต็มไปด้วยสูตรและกราฟิก หลังจากแอปพลิเคชันถูกปิดตัวลงไม่กี่สัปดาห์หลังจากเปิดตัว มีรายงานว่าผู้ก่อภัยคุกคามได้เปลี่ยนโฟกัสไปที่การเผยแพร่แอปพลิเคชันผ่านเว็บไซต์ฟิชชิ่งสำหรับทั้งแพลตฟอร์ม Android และ iOS
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ทำงานอย่างไร
สำหรับผู้ใช้ iOS การคลิกปุ่มดาวน์โหลดจะเริ่มดาวน์โหลดไฟล์ .plist ซึ่งจะแจ้งให้ระบบขออนุญาตติดตั้งแอปพลิเคชัน อย่างไรก็ตาม หลังจากดาวน์โหลดเสร็จสิ้น จะไม่สามารถเปิดแอปพลิเคชันได้ทันที จากนั้นอาชญากรไซเบอร์จะสั่งให้เหยื่อเชื่อถือโปรไฟล์นักพัฒนา Enterprise ด้วยตนเอง เมื่อขั้นตอนนี้เสร็จสิ้น แอปพลิเคชันปลอมก็สามารถเปิดใช้งานได้
ผู้ใช้ที่ดำเนินการติดตั้งและเปิดแอปพลิเคชันจะพบกับหน้าเข้าสู่ระบบที่ขอหมายเลขโทรศัพท์และรหัสผ่าน ขั้นตอนการลงทะเบียนรวมถึงการป้อนรหัสเชิญซึ่งบ่งชี้ว่าผู้โจมตีกำลังมุ่งเป้าไปที่เป้าหมายเฉพาะเพื่อดำเนินการตามกลวิธีของพวกเขา
เมื่อลงทะเบียนสำเร็จ เหยื่อจะถูกโจมตีด้วยขั้นตอน 6 ขั้นตอน โดยเหยื่อจะถูกกดดันให้ส่งเอกสารยืนยันตัวตน ข้อมูลส่วนตัว และข้อมูลการจ้างงานปัจจุบัน จากนั้นเหยื่อจะถูกขอให้ยอมรับข้อกำหนดและเงื่อนไขของบริการเพื่อดำเนินการลงทุนต่อไป
หลังจากทำการฝากเงินแล้ว อาชญากรไซเบอร์จะให้คำแนะนำเพิ่มเติมเกี่ยวกับตราสารทางการเงินที่ควรลงทุน โดยมักจะอ้างว่ามีผลตอบแทนสูง เพื่อเป็นการหลอกลวง แอปพลิเคชันจะถูกจัดการเพื่อแสดงการลงทุนของเหยื่อราวกับว่ากำลังสร้างกำไร
ผลร้ายแรงจากการตกหลุมพรางทางยุทธวิธี
ปัญหาเกิดขึ้นเมื่อเหยื่อพยายามถอนเงินของตน ซึ่งในจุดนั้นพวกเขาจะถูกแจ้งให้จ่ายค่าธรรมเนียมเพิ่มเติมเพื่อเรียกคืนเงินลงทุนเริ่มต้นและกำไรที่คาดว่าจะได้รับ ในความเป็นจริง เงินดังกล่าวถูกเก็บรวบรวมและส่งไปยังบัญชีที่ผู้โจมตีควบคุมอยู่
กลยุทธ์สร้างสรรค์อีกอย่างหนึ่งที่ผู้สร้างมัลแวร์ใช้คือการฝังการกำหนดค่าที่ระบุ URL ที่โฮสต์หน้าเข้าสู่ระบบและรายละเอียดอื่นๆ ของแอปพลิเคชันการซื้อขายปลอมภายในแอปพลิเคชัน การกำหนดค่านี้โฮสต์อยู่บน URL ที่เชื่อมโยงกับบริการที่ถูกกฎหมายที่เรียกว่า TermsFeed ซึ่งจัดเตรียมซอฟต์แวร์การปฏิบัติตามข้อกำหนดสำหรับการสร้างนโยบายความเป็นส่วนตัว ข้อกำหนดและเงื่อนไข และแบนเนอร์ยินยอมการใช้คุกกี้
แอปพลิเคชันแรกที่ระบุได้เผยแพร่ผ่าน Apple App Store ทำหน้าที่เป็นตัวดาวน์โหลดที่เพียงแค่ดึงและแสดง URL ของเว็บแอป ในทางตรงกันข้าม แอปพลิเคชันที่สองซึ่งได้รับจากเว็บไซต์ฟิชชิ่งนั้นมีเว็บแอปอยู่ในทรัพย์สินอยู่แล้ว
นักวิจัยสังเกตว่าวิธีนี้เป็นทางเลือกเชิงกลยุทธ์ของผู้ก่อให้เกิดภัยคุกคาม ซึ่งออกแบบมาเพื่อลดโอกาสในการถูกตรวจจับ และหลีกเลี่ยงการส่งสัญญาณเตือนเมื่อมีการเผยแพร่แอปผ่าน App Store
ผู้ใช้ Android ก็มีความเสี่ยงเช่นกัน
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังระบุถึงแอปพลิเคชันการลงทุนหุ้นปลอมบน Google Play Store ที่มีชื่อว่า FINANS INSIGHTS (com.finans.insights) แอปพลิเคชันอื่นที่เกี่ยวข้องกับผู้พัฒนารายเดียวกันคือ Ueaida Wabi คือ FINANS TRADER6 (com.finans.trader)
แม้ว่าแอปพลิเคชัน Android ทั้งสองตัวจะไม่ได้ใช้งานบน Play Store ในขณะนี้ แต่ก็มีผู้ดาวน์โหลดน้อยกว่า 5,000 ครั้ง FINANS INSIGHTS มุ่งเป้าไปที่ผู้ใช้ในญี่ปุ่น เกาหลีใต้ และกัมพูชาเป็นหลัก ในขณะที่ FINANS TRADER6 เปิดให้บริการส่วนใหญ่ในประเทศไทย ญี่ปุ่น และไซปรัส
อย่าเชื่อข้อความที่ไม่คาดคิด
ผู้ใช้ควรใช้ความระมัดระวังเมื่อคลิกลิงก์และหลีกเลี่ยงการตอบกลับข้อความที่ไม่พึงประสงค์จากบุคคลที่ไม่คุ้นเคยบนโซเชียลมีเดียและแพลตฟอร์มหาคู่ สิ่งสำคัญคือต้องตรวจสอบความถูกต้องตามกฎหมายของแพลตฟอร์มการลงทุนและตรวจสอบแอปต่างๆ อย่างละเอียดถี่ถ้วน รวมถึงผู้เผยแพร่ การจัดอันดับ และบทวิจารณ์ของผู้ใช้ ก่อนดาวน์โหลด
อาชญากรไซเบอร์ยังคงใช้ประโยชน์จากแพลตฟอร์มที่เชื่อถือได้ เช่น Apple App Store และ Google Play เพื่อแพร่กระจายมัลแวร์ที่ปลอมตัวเป็นแอปพลิเคชันที่ถูกกฎหมาย โดยใช้ประโยชน์จากความมั่นใจของผู้ใช้ในสภาพแวดล้อมที่ปลอดภัยเหล่านี้ เหยื่อถูกดึงดูดด้วยคำมั่นสัญญาที่จะได้กำไรทางการเงินอย่างรวดเร็ว แต่กลับพบว่าพวกเขาไม่สามารถถอนเงินออกได้หลังจากลงทุนไปจำนวนมาก การใช้แอปพลิเคชันบนเว็บทำให้กิจกรรมที่ไม่ปลอดภัยถูกบดบังมากขึ้น ทำให้การตรวจจับทำได้ยากยิ่งขึ้น
