UniShadowTrade
Широко розповсюджена операція шахрайства використовує підроблені торгові програми в Apple App Store і Google Play Store разом із фішинговими веб-сайтами, щоб обдурити жертв. Ця схема є частиною ширшої тактики шахрайства з інвестиціями споживачів, коли потенційні об’єкти залучаються до інвестування в криптовалюти чи інші фінансові продукти після встановлення довіри через удавання — або як романтичний партнер, або як інвестиційний радник.
Ці оманливі та маніпулятивні тактики часто призводять до втрати жертвами своїх інвестицій, а в деяких випадках вони можуть бути змушені сплатити додаткові збори або витрати. Експерти з кібербезпеки вказують, що ця шахрайська кампанія охоплює кілька регіонів, повідомляють про жертви в Азіатсько-Тихоокеанському регіоні, Європі, Близькому Сході та Африці. Шахрайські програми, розроблені за допомогою UniApp Framework, разом називаються UniShadowTrade.
Зміст
Операція триває досить довго
Повідомляється, що кластер активності працює принаймні з середини 2023 року, спокушаючи жертв небезпечними програмами, які обіцяють швидкі фінансові прибутки. Серйозне занепокоєння викликає те, що одному з цих додатків вдалося обійти процес перевірки Apple App Store, створивши помилкове відчуття легітимності та довіри. Додаток під назвою SBI-INT з тих пір було видалено з ринку, але спочатку представлялося як програмне забезпечення для «загально використовуваних алгебраїчних математичних формул і обчислення об’ємної площі 3D-графіки».
Вважається, що кіберзлочинці досягли цього, здійснивши перевірку у вихідному коді програми, щоб визначити, чи поточні дата й час були до 22 липня 2024 року, 00:00:00. Якщо так, програма відображатиме оманливий екран, заповнений формулами та графікою. Як повідомляється, після того, як програму було видалено через кілька тижнів після запуску, зловмисники переключили свою увагу на розповсюдження програми через фішингові веб-сайти як для платформ Android, так і для iOS.
Як працюють ці шкідливі програми
Для користувачів iOS натискання кнопки завантаження ініціює завантаження файлу .plist, який пропонує системі запитати дозвіл на встановлення програми. Однак після завершення завантаження програму не можна відразу запустити. Потім кіберзлочинці вручну вказують жертві довіряти профілю розробника Enterprise. Після завершення цього кроку шахрайську програму можна активувати.
Користувачів, які встановлюють і відкривають програму, зустрічає сторінка входу, яка запитує номер телефону та пароль. Процес реєстрації включає введення коду запрошення, який вказує на те, що зловмисники зосереджуються на конкретних цілях для реалізації своєї тактики.
Після успішної реєстрації жертви входять у шестиетапну послідовність атаки. На них тиснуть, щоб вони надали документи, що посвідчують особу, для підтвердження, особисті дані та інформацію про поточну роботу. Потім їх просять погодитися з умовами послуги, щоб продовжити свої інвестиції.
Після внесення депозиту кіберзлочинці надають додаткові інструкції, у які фінансові інструменти інвестувати, часто заявляючи про високі потенційні прибутки. Щоб увічнити обман, додаток маніпулюють таким чином, щоб відображати інвестиції жертв так, ніби вони приносять прибуток.
Серйозні наслідки прихильності до тактики
Проблеми виникають, коли жертва намагається зняти свої кошти, після чого їй пропонується сплатити додаткові комісії, щоб повернути свої початкові інвестиції та передбачувані прибутки. Насправді кошти були зібрані та перенаправлені на підконтрольні зловмисникам рахунки.
Ще одна інноваційна тактика, використана розробниками зловмисного програмного забезпечення, передбачає вбудовування конфігурації, яка визначає URL-адресу сторінки входу та інші деталі підробленої торгової програми в програму. Ця конфігурація розміщена за URL-адресою, пов’язаною з законною службою під назвою TermsFeed, яка надає програмне забезпечення відповідності для генерації політики конфіденційності, положень і умов і банерів згоди щодо файлів cookie.
Перша ідентифікована програма, яка розповсюджується через Apple App Store, функціонує як завантажувач, який просто отримує та відображає URL-адресу веб-програми. Натомість друга програма, отримана з фішингових веб-сайтів, уже містить веб-програму у своїх активах.
Дослідники відзначають, що цей метод є стратегічним вибором суб’єктів загрози, розробленим, щоб зменшити ймовірність виявлення та уникнути запуску тривог, коли додаток поширюється через App Store.
Користувачі Android також були під загрозою
Експерти з кібербезпеки також виявили шахрайський додаток для інвестування акцій у Google Play Store під назвою FINANS INSIGHTS (com.finans.insights). Інша програма, пов’язана з тим самим розробником, Уейда Вабі, — FINANS TRADER6 (com.finans.trader).
Хоча обидва додатки для Android наразі неактивні в Play Store, їх було завантажено менше 5000 разів. FINANS INSIGHTS в основному був націлений на користувачів у Японії, Південній Кореї та Камбоджі, тоді як FINANS TRADER6 був доступний переважно в Таїланді, Японії та на Кіпрі.
Скептично ставтеся до несподіваних повідомлень
Користувачів закликають бути обережними, натискаючи посилання, і не відповідати на небажані повідомлення від незнайомих людей у соціальних мережах і на платформах знайомств. Перед завантаженням важливо перевірити легітимність інвестиційних платформ і ретельно перевірити програми, зокрема їх видавців, рейтинги та відгуки користувачів.
Кіберзлочинці продовжують використовувати такі надійні платформи, як Apple App Store і Google Play, для поширення зловмисного програмного забезпечення, замаскованого під законні програми, користуючись довірою користувачів до цих безпечних середовищ. Жертв приваблюють обіцянки швидкої фінансової вигоди, але вони виявляють, що вони не можуть забрати свої кошти після значних інвестицій. Використання веб-додатків ще більше приховує небезпечну діяльність, що робить виявлення ще більш складним.
