影子贸易
一项广泛的诈骗活动利用 Apple App Store 和 Google Play Store 上的假冒交易程序以及钓鱼网站来欺骗受害者。这一骗局是一种更广泛的消费者投资欺诈手段,通过伪装成恋人或投资顾问建立信任,吸引潜在目标投资加密货币或其他金融产品。
这些欺骗和操纵手段经常导致受害者损失投资,有时甚至会被迫支付额外费用或成本。网络安全专家指出,这一欺诈活动涉及多个地区,受害者分布在亚太地区、欧洲、中东和非洲。这些使用 UniApp Framework 开发的欺诈应用程序统称为 UniShadowTrade。
目录
该行动已持续一段时间
据报道,该活动集群至少从 2023 年中期开始运作,用承诺快速获得财务回报的不安全应用程序引诱受害者。一个重大的担忧是,其中一款应用程序设法绕过了苹果的 App Store 审核流程,创造了一种虚假的合法性和信任感。这款名为 SBI-INT 的应用程序现已从市场上撤下,但最初伪装成“常用代数数学公式和 3D 图形体积面积计算”的软件。
据信,网络犯罪分子通过在应用程序源代码中实施检查来确定当前日期和时间是否在 2024 年 7 月 22 日 00:00:00 之前来实现此目的。如果是这样,该应用程序将显示一个充满公式和图形的欺骗性屏幕。据报道,在该应用程序发布几周后被下架后,威胁行为者将重点转移到通过 Android 和 iOS 平台的钓鱼网站分发该应用程序。
这些有害应用程序如何运作
对于 iOS 用户,点击下载按钮会开始下载 .plist 文件,提示系统请求安装应用程序的权限。但是,下载完成后,应用程序无法立即启动。网络犯罪分子随后指示受害者手动信任企业开发者配置文件。完成此步骤后,即可激活欺诈性应用程序。
用户安装并打开应用程序后,将看到一个登录页面,要求输入电话号码和密码。注册过程包括输入邀请码,这表明攻击者正在针对特定目标实施他们的策略。
成功注册后,受害者将进入六步攻击序列。他们被迫提交身份证明文件作为验证、个人详细信息和当前就业信息。然后,他们被要求同意服务的条款和条件,以继续投资。
存款后,网络犯罪分子会提供关于投资哪些金融工具的额外说明,通常声称有很高的潜在回报。为了延续欺骗,应用程序被操纵以显示受害者的投资,好像它们正在产生利润。
落入这一策略的严重后果
当受害者试图提取资金时,问题就出现了,此时他们会被要求支付额外费用来收回他们的初始投资和所谓的利润。事实上,这些资金已被收集并转移到攻击者控制的账户中。
恶意软件创建者采用的另一种创新策略是嵌入一个配置,该配置指定托管登录页面的 URL 以及应用程序中虚假交易应用程序的其他详细信息。此配置托管在链接到合法服务 TermsFeed 的 URL 上,该服务提供合规软件,用于生成隐私政策、条款和条件以及 Cookie 同意横幅。
第一个被识别的应用程序通过 Apple App Store 分发,其功能相当于一个下载器,仅检索并显示 Web 应用程序 URL。相比之下,第二个应用程序是从钓鱼网站获取的,其资产中已经包含 Web 应用程序。
研究人员指出,这种方法是威胁行为者的战略选择,旨在降低被发现的可能性并避免在应用程序通过 App Store 分发时触发警报。
Android 用户也面临风险
网络安全专家还在 Google Play Store 上发现了一款名为 FINANS INSIGHTS (com.finans.insights) 的欺诈性股票投资应用程序。与同一开发商 Ueaida Wabi 相关的另一款应用程序是 FINANS TRADER6 (com.finans.trader)。
尽管这两款 Android 应用程序目前在 Play Store 上处于非活跃状态,但它们的下载次数不足 5,000 次。FINANS INSIGHTS 主要针对日本、韩国和柬埔寨的用户,而 FINANS TRADER6 主要在泰国、日本和塞浦路斯推出。
对意外信息保持怀疑
敦促用户在点击链接时要小心谨慎,避免回复社交媒体和约会平台上陌生人的未经请求的消息。在下载之前,务必核实投资平台的合法性,并仔细检查应用程序,包括其发布者、评级和用户评论。
网络犯罪分子继续利用 Apple App Store 和 Google Play 等受信任的平台传播伪装成合法应用程序的恶意软件,利用用户对这些安全环境的信心。受害者被快速获利的承诺所吸引,却发现在投入大量资金后无法提取资金。基于 Web 的应用程序的使用进一步掩盖了不安全活动,使检测更加困难。
