UniShadowTrade
Ang isang malawakang operasyon ng panloloko ay gumamit ng mga pekeng programa sa pangangalakal sa Apple App Store at Google Play Store, kasama ang mga website ng phishing, upang linlangin ang mga biktima. Ang pamamaraan na ito ay bahagi ng isang mas malawak na taktika ng pandaraya sa pamumuhunan ng consumer, kung saan ang mga potensyal na target ay iginuhit sa pamumuhunan sa mga cryptocurrencies o iba pang mga produkto sa pananalapi pagkatapos magtatag ng tiwala sa pamamagitan ng pagpapanggap—bilang romantikong kasosyo o isang tagapayo sa pamumuhunan.
Ang mga mapanlinlang at mapagmanipulang taktika na ito ay kadalasang nagreresulta sa pagkawala ng mga puhunan ng mga biktima, at sa ilang pagkakataon, maaari silang mapilitan na magbayad ng mga karagdagang bayarin o gastos. Isinasaad ng mga eksperto sa cybersecurity na ang mapanlinlang na kampanyang ito ay sumasaklaw sa maraming rehiyon, na may mga biktima na iniulat sa Asia-Pacific, Europe, Middle East at Africa. Ang mga mapanlinlang na application, na binuo gamit ang UniApp Framework, ay sama-samang tinutukoy bilang UniShadowTrade.
Talaan ng mga Nilalaman
Matagal nang Aktibo ang Operasyon
Ang cluster ng aktibidad ay iniulat na naging operational mula pa noong kalagitnaan ng 2023, na nakakaakit sa mga biktima na may hindi ligtas na mga aplikasyon na nangangako ng mabilis na pagbabalik sa pananalapi. Ang isang makabuluhang alalahanin ay ang isa sa mga app na ito ay nagtagumpay sa pag-bypass sa proseso ng pagsusuri sa App Store ng Apple, na lumilikha ng isang maling pakiramdam ng pagiging lehitimo at pagtitiwala. Ang application, na pinangalanang SBI-INT, ay inalis na mula sa marketplace ngunit sa una ay nagkunwaring software para sa 'karaniwang ginagamit na algebraic mathematical formula at 3D graphics volume area calculation.'
Pinaniniwalaan na nakamit ito ng mga cybercriminal sa pamamagitan ng pagpapatupad ng tseke sa loob ng source code ng application upang matukoy kung ang kasalukuyang petsa at oras ay bago ang Hulyo 22, 2024, 00:00:00. Kung gayon, magpapakita ang app ng mapanlinlang na screen na puno ng mga formula at graphics. Matapos tanggalin ang app ilang linggo pagkatapos ng paglunsad, iniulat na inilipat ng mga banta ng aktor ang kanilang pagtuon sa pamamahagi ng app sa pamamagitan ng mga website ng phishing para sa parehong mga platform ng Android at iOS.
Paano Gumagana ang Mga Nakakapinsalang Application na ito
Para sa mga user ng iOS, ang pag-click sa button ng pag-download ay magsisimula ng pag-download ng isang .plist file, na mag-uudyok sa system na humiling ng pahintulot na i-install ang application. Gayunpaman, pagkatapos makumpleto ang pag-download, hindi agad mailunsad ang application. Pagkatapos ay tinuturuan ng mga cybercriminal ang biktima na magtiwala nang manu-mano sa profile ng developer ng Enterprise. Kapag nakumpleto na ang hakbang na ito, maaaring ma-activate ang mapanlinlang na aplikasyon.
Ang mga user na magpapatuloy sa pag-install at pagbubukas ng application ay binabati ng isang login page na humihiling ng kanilang numero ng telepono at password. Kasama sa proseso ng pagpaparehistro ang paglalagay ng code ng imbitasyon, na nagpapahiwatig na ang mga umaatake ay tumutuon sa mga partikular na target upang maisagawa ang kanilang taktika.
Sa matagumpay na pagpaparehistro, ang mga biktima ay pumasok sa isang anim na hakbang na pagkakasunud-sunod ng pag-atake. Pinipilit silang magsumite ng mga dokumento ng pagkakakilanlan bilang pagpapatunay, mga personal na detalye, at kasalukuyang impormasyon sa trabaho. Pagkatapos ay hihilingin sa kanila na sumang-ayon sa mga tuntunin at kundisyon ng serbisyo upang magpatuloy sa kanilang mga pamumuhunan.
Pagkatapos magdeposito, ang mga cybercriminal ay nagbibigay ng mga karagdagang tagubilin kung saan mamumuhunan ang mga instrumento sa pananalapi, na kadalasang naghahabol ng mataas na potensyal na kita. Upang ipagpatuloy ang panlilinlang, ang aplikasyon ay manipulahin upang ipakita ang mga pamumuhunan ng mga biktima na parang kumikita sila.
Matinding Bunga ng Pagbagsak sa Taktika
Ang mga problema ay lumitaw kapag sinubukan ng biktima na bawiin ang kanilang mga pondo, kung saan sila ay sinenyasan na magbayad ng karagdagang mga bayarin upang mabawi ang kanilang mga paunang pamumuhunan at dapat na kita. Sa katotohanan, ang mga pondo ay nakolekta at na-redirect sa mga account na kinokontrol ng mga umaatake.
Ang isa pang makabagong taktika na ginagamit ng mga gumagawa ng malware ay nagsasangkot ng pag-embed ng configuration na tumutukoy sa URL na nagho-host ng login page at iba pang mga detalye ng pekeng trading application sa loob ng application. Ang configuration na ito ay naka-host sa isang URL na naka-link sa isang lehitimong serbisyo na tinatawag na TermsFeed, na nagbibigay ng compliance software para sa pagbuo ng mga patakaran sa privacy, mga tuntunin at kundisyon at mga banner ng pahintulot ng cookie.
Ang unang application na natukoy, na ipinamahagi sa pamamagitan ng Apple App Store, ay gumagana bilang isang downloader na kumukuha at nagpapakita lamang ng URL ng Web-app. Sa kabaligtaran, ang pangalawang application, na nakuha mula sa mga website ng phishing, ay naglalaman na ng web app sa loob ng mga asset nito.
Napansin ng mga mananaliksik na ang pamamaraang ito ay isang madiskarteng pagpipilian ng mga aktor ng pagbabanta, na idinisenyo upang bawasan ang posibilidad na matuklasan at maiwasan ang pag-trigger ng mga alarma kapag ang app ay ipinamahagi sa pamamagitan ng App Store.
Nasa Panganib din ang Mga User ng Android
Tinukoy din ng mga eksperto sa cybersecurity ang isang mapanlinlang na application sa pamumuhunan ng stock sa Google Play Store na pinangalanang FINANS INSIGHTS (com.finans.insights). Ang isa pang application na nauugnay sa parehong developer, si Ueaida Wabi, ay ang FINANS TRADER6 (com.finans.trader).
Bagama't ang parehong Android application ay kasalukuyang hindi aktibo sa Play Store, na-download ang mga ito nang wala pang 5,000 beses. Pangunahing tina-target ng FINANS INSIGHTS ang mga user sa Japan, South Korea, at Cambodia, habang ang FINANS TRADER6 ay pangunahing available sa Thailand, Japan at Cyprus.
Maging Mapag-aalinlangan sa Mga Hindi Inaasahang Mensahe
Hinihimok ang mga user na maging maingat kapag nagki-click sa mga link at iwasang tumugon sa mga hindi hinihinging mensahe mula sa mga hindi pamilyar na indibidwal sa social media at mga platform ng pakikipag-date. Mahalagang i-verify ang pagiging lehitimo ng mga platform ng pamumuhunan at maingat na suriin ang mga app, kasama ang mga publisher, rating, at review ng user nito, bago mag-download.
Patuloy na sinasamantala ng mga cybercriminal ang mga pinagkakatiwalaang platform tulad ng Apple App Store at Google Play upang maikalat ang malware na itinago bilang mga lehitimong application, sinasamantala ang kumpiyansa ng mga user sa mga secure na kapaligirang ito. Ang mga biktima ay naaakit ng mga pangako ng mabilis na kita sa pananalapi, para lamang matuklasan na hindi nila maaaring bawiin ang kanilang mga pondo pagkatapos gumawa ng malaking pamumuhunan. Ang paggamit ng mga Web-based na application ay higit pang nakakubli sa hindi ligtas na aktibidad, na ginagawang mas mahirap ang pagtuklas.
