UniShadowTicaret
Yaygın bir dolandırıcılık operasyonu, kurbanları aldatmak için Apple App Store ve Google Play Store'daki sahte ticaret programlarını ve kimlik avı web sitelerini kullandı. Bu plan, potansiyel hedeflerin, romantik bir partner veya yatırım danışmanı olarak sahtecilik yoluyla güven oluşturduktan sonra kripto para birimlerine veya diğer finansal ürünlere yatırım yapmaya çekildiği daha geniş bir tüketici yatırım dolandırıcılığı taktiğinin bir parçasıdır.
Bu aldatıcı ve manipülatif taktikler sıklıkla kurbanların yatırımlarını kaybetmelerine neden olur ve bazı durumlarda ek ücretler veya masraflar ödemeye zorlanabilirler. Siber güvenlik uzmanları bu dolandırıcılık kampanyasının birden fazla bölgeyi kapsadığını ve Asya-Pasifik, Avrupa, Orta Doğu ve Afrika'da kurbanların bildirildiğini belirtiyor. UniApp Framework kullanılarak geliştirilen dolandırıcılık uygulamalarına toplu olarak UniShadowTrade adı veriliyor.
İçindekiler
Operasyon Bir Süredir Aktif
Etkinlik kümesinin en azından 2023 ortalarından beri faaliyette olduğu ve kurbanları hızlı finansal getiriler vaat eden güvenli olmayan uygulamalarla cezbettiği bildiriliyor. Önemli bir endişe, bu uygulamalardan birinin Apple'ın App Store inceleme sürecini atlatarak yanlış bir meşruiyet ve güven duygusu yaratması. SBI-INT adlı uygulama o zamandan beri pazardan kaldırıldı ancak başlangıçta 'yaygın olarak kullanılan cebirsel matematiksel formüller ve 3D grafik hacim alanı hesaplaması' için bir yazılım olarak sunuldu.
Siber suçluların, uygulamanın kaynak kodunda geçerli tarih ve saatin 22 Temmuz 2024, 00:00:00'dan önce olup olmadığını belirlemek için bir kontrol uygulayarak bunu başardığına inanılıyor. Eğer öyleyse, uygulama formüller ve grafiklerle dolu aldatıcı bir ekran görüntüleyecekti. Uygulama lansmandan birkaç hafta sonra kaldırıldıktan sonra, tehdit aktörlerinin odaklarını hem Android hem de iOS platformları için uygulamayı kimlik avı web siteleri aracılığıyla dağıtmaya kaydırdıkları bildirildi.
Bu Zararlı Uygulamalar Nasıl Çalışır?
iOS kullanıcıları için, indirme düğmesine tıklamak, sistemin uygulamayı yüklemek için izin istemesini isteyen bir .plist dosyasının indirilmesini başlatır. Ancak, indirme tamamlandıktan sonra uygulama hemen başlatılamaz. Siber suçlular daha sonra kurbana Enterprise geliştirici profiline manuel olarak güvenmesini söyler. Bu adım tamamlandıktan sonra, sahte uygulama etkinleştirilebilir.
Uygulamayı yüklemeye ve açmaya devam eden kullanıcılar, telefon numaralarını ve şifrelerini isteyen bir oturum açma sayfasıyla karşılanır. Kayıt işlemi, saldırganların taktiklerini uygulamak için belirli hedeflere odaklandıklarını gösteren bir davet kodu girmeyi içerir.
Başarılı kayıttan sonra, kurbanlar altı adımlı bir saldırı dizisine girerler. Doğrulama olarak kimlik belgelerini, kişisel bilgileri ve güncel istihdam bilgilerini göndermeleri için baskı yapılır. Daha sonra yatırımlarına devam etmek için hizmetin hüküm ve koşullarını kabul etmeleri istenir.
Siber suçlular, bir yatırım yaptıktan sonra hangi finansal araçlara yatırım yapılacağına dair ek talimatlar sağlar ve genellikle yüksek potansiyel getiriler iddia eder. Aldatmayı sürdürmek için uygulama, kurbanların yatırımlarını kar elde ediyormuş gibi gösterecek şekilde manipüle edilir.
Taktiklere Kanmanın Ciddi Sonuçları
Mağdur paralarını çekmeye çalıştığında sorunlar ortaya çıkar ve bu noktada ilk yatırımlarını ve varsayılan karlarını geri almak için ek ücretler ödemeleri istenir. Gerçekte, paralar toplanmış ve saldırganların kontrol ettiği hesaplara yönlendirilmiştir.
Kötü amaçlı yazılım yaratıcıları tarafından kullanılan bir diğer yenilikçi taktik, oturum açma sayfasını ve sahte ticaret uygulamasının diğer ayrıntılarını barındıran URL'yi belirten bir yapılandırmayı uygulama içine yerleştirmeyi içerir. Bu yapılandırma, gizlilik politikaları, hüküm ve koşullar ve çerez onay afişleri oluşturmak için uyumluluk yazılımı sağlayan TermsFeed adlı meşru bir hizmete bağlı bir URL'de barındırılır.
Apple App Store üzerinden dağıtılan ilk uygulama, yalnızca bir Web uygulaması URL'sini alıp görüntüleyen bir indirici olarak işlev görür. Buna karşılık, kimlik avı web sitelerinden elde edilen ikinci uygulama, web uygulamasını varlıklarında zaten barındırır.
Araştırmacılar, bu yöntemin tehdit aktörleri tarafından stratejik bir tercih olduğunu, uygulama App Store üzerinden dağıtıldığında tespit edilme olasılığını azaltmak ve alarm tetiklenmesini önlemek için tasarlandığını belirtiyor.
Android Kullanıcıları da Risk Altında
Siber güvenlik uzmanları ayrıca Google Play Store'da FINANS INSIGHTS (com.finans.insights) adlı sahte bir hisse senedi yatırım uygulaması tespit etti. Aynı geliştirici Ueaida Wabi ile ilişkili bir diğer uygulama ise FINANS TRADER6 (com.finans.trader).
Her iki Android uygulaması da şu anda Play Store'da aktif olmasa da, 5.000'den az kez indirildi. FINANS INSIGHTS öncelikli olarak Japonya, Güney Kore ve Kamboçya'daki kullanıcıları hedeflerken, FINANS TRADER6 öncelikli olarak Tayland, Japonya ve Kıbrıs'ta mevcuttu.
Beklenmedik Mesajlara Şüpheyle Yaklaşın
Kullanıcıların bağlantılara tıkladıklarında dikkatli olmaları ve sosyal medya ve flört platformlarında tanımadıkları kişilerden gelen istenmeyen mesajlara yanıt vermekten kaçınmaları tavsiye edilir. Yatırım platformlarının meşruiyetini doğrulamak ve indirmeden önce yayıncıları, derecelendirmeleri ve kullanıcı yorumları dahil uygulamaları dikkatlice incelemek önemlidir.
Siber suçlular, kullanıcıların bu güvenli ortamlara olan güvenini suistimal ederek, meşru uygulamalar kisvesi altında kötü amaçlı yazılımları yaymak için Apple App Store ve Google Play gibi güvenilir platformları kullanmaya devam ediyor. Mağdurlar, hızlı finansal kazanç vaatleriyle cezbediliyor, ancak önemli yatırımlar yaptıktan sonra paralarını çekemeyeceklerini keşfediyorlar. Web tabanlı uygulamaların kullanımı, güvenli olmayan etkinliği daha da belirsizleştirerek tespiti daha da zorlaştırıyor.
