UniShadowTrade
Một hoạt động gian lận lan rộng đã sử dụng các chương trình giao dịch giả mạo trên Apple App Store và Google Play Store, cùng với các trang web lừa đảo, để lừa nạn nhân. Kế hoạch này là một phần của chiến thuật gian lận đầu tư tiêu dùng rộng hơn, trong đó các mục tiêu tiềm năng bị dụ dỗ đầu tư vào tiền điện tử hoặc các sản phẩm tài chính khác sau khi tạo dựng được lòng tin thông qua sự giả vờ—hoặc là với tư cách là đối tác lãng mạn hoặc là cố vấn đầu tư.
Những chiến thuật lừa đảo và thao túng này thường khiến nạn nhân mất khoản đầu tư của mình và trong một số trường hợp, họ có thể bị ép phải trả thêm phí hoặc chi phí. Các chuyên gia an ninh mạng chỉ ra rằng chiến dịch gian lận này trải dài trên nhiều khu vực, với các nạn nhân được báo cáo ở Châu Á - Thái Bình Dương, Châu Âu, Trung Đông và Châu Phi. Các ứng dụng gian lận, được phát triển bằng UniApp Framework, được gọi chung là UniShadowTrade.
Mục lục
Hoạt động này đã diễn ra khá lâu
Nhóm hoạt động này được báo cáo là đã hoạt động ít nhất từ giữa năm 2023, dụ dỗ nạn nhân bằng các ứng dụng không an toàn hứa hẹn lợi nhuận tài chính nhanh chóng. Một mối quan ngại đáng kể là một trong những ứng dụng này đã vượt qua được quy trình đánh giá của App Store của Apple, tạo ra cảm giác sai lầm về tính hợp pháp và tin cậy. Ứng dụng có tên SBI-INT đã bị xóa khỏi thị trường nhưng ban đầu được coi là phần mềm cho 'các công thức toán học đại số thường dùng và tính toán diện tích thể tích đồ họa 3D'.
Người ta tin rằng tội phạm mạng đã thực hiện điều này bằng cách thực hiện kiểm tra trong mã nguồn của ứng dụng để xác định xem ngày và giờ hiện tại có trước ngày 22 tháng 7 năm 2024, 00:00:00 hay không. Nếu đúng như vậy, ứng dụng sẽ hiển thị một màn hình lừa đảo chứa đầy các công thức và đồ họa. Sau khi ứng dụng bị gỡ xuống vài tuần sau khi ra mắt, những kẻ tấn công được cho là đã chuyển trọng tâm sang phân phối ứng dụng thông qua các trang web lừa đảo cho cả nền tảng Android và iOS.
Những ứng dụng có hại này hoạt động như thế nào
Đối với người dùng iOS, nhấp vào nút tải xuống sẽ khởi chạy tệp .plist, nhắc nhở hệ thống yêu cầu quyền cài đặt ứng dụng. Tuy nhiên, sau khi tải xuống hoàn tất, ứng dụng không thể khởi chạy ngay lập tức. Sau đó, tội phạm mạng sẽ hướng dẫn nạn nhân tin tưởng hồ sơ nhà phát triển Enterprise theo cách thủ công. Sau khi hoàn tất bước này, ứng dụng gian lận có thể được kích hoạt.
Người dùng tiến hành cài đặt và mở ứng dụng sẽ được chào đón bằng trang đăng nhập yêu cầu số điện thoại và mật khẩu của họ. Quá trình đăng ký bao gồm nhập mã mời, cho biết kẻ tấn công đang tập trung vào các mục tiêu cụ thể để thực hiện chiến thuật của chúng.
Sau khi đăng ký thành công, nạn nhân sẽ bước vào chuỗi tấn công gồm sáu bước. Họ bị ép cung cấp các giấy tờ tùy thân để xác minh, thông tin cá nhân và thông tin việc làm hiện tại. Sau đó, họ được yêu cầu đồng ý với các điều khoản và điều kiện của dịch vụ để tiếp tục đầu tư.
Sau khi gửi tiền, tội phạm mạng cung cấp thêm hướng dẫn về các công cụ tài chính để đầu tư, thường tuyên bố lợi nhuận tiềm năng cao. Để duy trì sự lừa dối, ứng dụng bị thao túng để hiển thị các khoản đầu tư của nạn nhân như thể chúng đang tạo ra lợi nhuận.
Hậu quả nghiêm trọng khi sa vào chiến thuật này
Vấn đề phát sinh khi nạn nhân cố gắng rút tiền của họ, tại thời điểm đó họ được nhắc nhở phải trả thêm phí để khôi phục khoản đầu tư ban đầu và lợi nhuận được cho là của họ. Trên thực tế, tiền đã được thu thập và chuyển hướng đến các tài khoản do kẻ tấn công kiểm soát.
Một chiến thuật sáng tạo khác được những kẻ tạo ra phần mềm độc hại sử dụng bao gồm nhúng một cấu hình chỉ định URL lưu trữ trang đăng nhập và các chi tiết khác của ứng dụng giao dịch giả mạo trong ứng dụng. Cấu hình này được lưu trữ trên một URL được liên kết đến một dịch vụ hợp pháp có tên là TermsFeed, cung cấp phần mềm tuân thủ để tạo chính sách bảo mật, điều khoản và điều kiện và biểu ngữ đồng ý cookie.
Ứng dụng đầu tiên được xác định, phân phối thông qua Apple App Store, hoạt động như một trình tải xuống chỉ lấy và hiển thị URL ứng dụng web. Ngược lại, ứng dụng thứ hai, lấy từ các trang web lừa đảo, đã chứa ứng dụng web trong tài sản của nó.
Các nhà nghiên cứu lưu ý rằng phương pháp này là lựa chọn chiến lược của kẻ tấn công, được thiết kế để giảm khả năng bị phát hiện và tránh gây ra báo động khi ứng dụng được phân phối qua App Store.
Người dùng Android cũng có nguy cơ
Các chuyên gia an ninh mạng cũng xác định một ứng dụng đầu tư chứng khoán gian lận trên Google Play Store có tên là FINANS INSIGHTS (com.finans.insights). Một ứng dụng khác liên quan đến cùng một nhà phát triển, Ueaida Wabi, là FINANS TRADER6 (com.finans.trader).
Mặc dù cả hai ứng dụng Android hiện không hoạt động trên Play Store, nhưng chúng được tải xuống ít hơn 5.000 lần. FINANS INSIGHTS chủ yếu nhắm mục tiêu đến người dùng ở Nhật Bản, Hàn Quốc và Campuchia, trong khi FINANS TRADER6 chủ yếu có sẵn ở Thái Lan, Nhật Bản và Síp.
Hãy hoài nghi về những tin nhắn bất ngờ
Người dùng được khuyến cáo nên thận trọng khi nhấp vào liên kết và tránh trả lời tin nhắn không mong muốn từ những người lạ trên phương tiện truyền thông xã hội và nền tảng hẹn hò. Điều cần thiết là phải xác minh tính hợp pháp của các nền tảng đầu tư và kiểm tra cẩn thận các ứng dụng, bao gồm nhà xuất bản, xếp hạng và đánh giá của người dùng, trước khi tải xuống.
Tội phạm mạng tiếp tục khai thác các nền tảng đáng tin cậy như Apple App Store và Google Play để phát tán phần mềm độc hại được ngụy trang dưới dạng các ứng dụng hợp pháp, lợi dụng lòng tin của người dùng vào các môi trường an toàn này. Nạn nhân bị thu hút bởi những lời hứa về lợi nhuận tài chính nhanh chóng, chỉ để phát hiện ra rằng họ không thể rút tiền sau khi đầu tư đáng kể. Việc sử dụng các ứng dụng dựa trên Web càng làm lu mờ hoạt động không an toàn, khiến việc phát hiện trở nên khó khăn hơn.
