UniShadowTrade

廣泛的詐騙活動利用 Apple App Store 和 Google Play Store 上的假交易程式以及網路釣魚網站來欺騙受害者。該計劃是更廣泛的消費者投資詐欺策略的一部分，其中潛在目標在透過假裝（無論是作為浪漫伴侶還是投資顧問）建立信任後被吸引投資加密貨幣或其他金融產品。

這些欺騙和操縱策略經常導致受害者失去投資，在某些情況下，他們可能被迫支付額外的費用或成本。網路安全專家表示，這項詐欺活動跨越多個地區，據報導受害者分佈在亞太地區、歐洲、中東和非洲。使用 UniApp 框架開發的詐欺應用程式統稱為 UniShadowTrade。

該行動已經活躍了一段時間

據報道，該活動集群至少從 2023 年中期開始運營，透過承諾快速經濟回報的不安全應用程式來吸引受害者。一個重要的擔憂是，其中一款應用程式成功繞過了蘋果應用程式商店的審核流程，造成了一種合法性和信任感的錯誤感覺。該應用程式名為 SBI-INT，現已從市場上刪除，但最初被定位為「常用代數數學公式和 3D 圖形體積面積計算」的軟體。

據信，網路犯罪分子透過在應用程式的原始程式碼中進行檢查來確定當前日期和時間是否早於 2024 年 7 月 22 日 00:00:00 來實現此目的。如果是這樣，該應用程式將顯示一個充滿公式和圖形的欺騙性螢幕。據報道，該應用程式在發布幾週後被下架後，威脅行為者將注意力轉向透過 Android 和 iOS 平台的網路釣魚網站分發該應用程式。

這些有害應用程式如何運作

對於 iOS 用戶，點擊下載按鈕將啟動 .plist 檔案的下載，這會提示系統請求安裝應用程式的權限。但是，下載完成後，應用程式無法立即啟動。然後，網路犯罪分子指示受害者手動信任企業開發人員設定檔。一旦完成此步驟，欺詐性應用程式就可以被啟動。

繼續安裝並開啟該應用程式的使用者會看到一個登入頁面，要求提供電話號碼和密碼。註冊過程包括輸入邀請碼，表示攻擊者正在專注於特定目標來執行他們的策略。

成功註冊後，受害者將進入六步驟攻擊序列。他們被迫提交身分證明文件、個人詳細資料和當前就業資訊。然後，他們需要同意服務的條款和條件才能繼續投資。

存款後，網路犯罪分子會提供有關投資哪些金融工具的額外說明，通常聲稱具有高潛在回報。為了使欺騙行為永久化，該應用程式被操縱以顯示受害者的投資，就好像它們正在產生利潤一樣。

陷入這種策略的嚴重後果

當受害者試圖提取資金時，就會出現問題，此時他們會被提示支付額外費用以收回其初始投資和所謂的利潤。事實上，資金已被收集並重定向到攻擊者控制的帳戶。

惡意軟體創建者採用的另一種創新策略涉及嵌入一個配置，該配置指定託管登入頁面的 URL 以及應用程式中虛假交易應用程式的其他詳細資訊。此配置託管在連結到名為TermsFeed的合法服務的URL上，該服務提供用於產生隱私權政策、條款和條件以及cookie同意橫幅的合規軟體。

第一個確定的應用程式透過 Apple App Store 分發，充當下載程序，僅檢索並顯示 Web 應用程式 URL。相較之下，從網路釣魚網站取得的第二個應用程式已在其資產中包含該 Web 應用程式。

研究人員指出，這種方法是威脅行為者的策略選擇，旨在降低偵測的可能性，並避免在應用程式透過 App Store 分發時觸發警報。

Android 用戶也面臨風險

網路安全專家也在 Google Play 商店中發現了一個名為 FINANS INSIGHTS (com.finans.insights) 的詐騙股票投資應用程式。與同一開發商 Ueaida Wabi 相關的另一個應用程式是 FINANS TRADER6 (com.finans.trader)。

儘管這兩款 Android 應用程式目前在 Play 商店中均處於非活動狀態，但它們的下載次數還不到 5,000 次。 FINANS INSIGHTS 主要針對日本、韓國和柬埔寨的用戶，而 FINANS TRADER6 主要針對泰國、日本和塞浦路斯的用戶。

對意外消息保持懷疑

我們敦促用戶在點擊連結時要小心，並避免在社交媒體和約會平台上回覆來自不熟悉的人的未經請求的訊息。在下載之前，必須驗證投資平台的合法性並仔細檢查應用程序，包括其發布者、評級和用戶評論。

網路犯罪分子繼續利用 Apple App Store 和 Google Play 等可信任平台傳播偽裝成合法應用程式的惡意軟體，利用用戶對這些安全環境的信心。受害者被快速經濟利益的承諾所吸引，卻發現在進行大量投資後卻無法提取資金。基於網路的應用程式的使用進一步掩蓋了不安全活動，使檢測變得更具挑戰性。