Μια μεγάλης κλίμακας εκστρατεία απάτης αξιοποίησε ψεύτικες εφαρμογές συναλλαγών που δημοσιεύτηκαν στο Apple App Store και το Google Play Store, καθώς και ιστότοπους ηλεκτρονικού ψαρέματος, για να εξαπατήσει ανυποψίαστες χρήστες, σύμφωνα με τα ευρήματα του Group-IB.
Πώς δρα η συγκεκριμένη «καμπάνια»
Η καμπάνια αποτελεί μέρος ενός σχεδίου απάτης για επενδύσεις καταναλωτών που είναι επίσης ευρέως γνωστό ως «κρεοπωλείο χοίρων», στο οποίο τα υποψήφια θύματα παρασύρονται να κάνουν επενδύσεις σε κρυπτονομίσματα ή άλλα χρηματοοικονομικά μέσα αφού κερδίσουν την εμπιστοσύνη τους με το πρόσχημα μιας ρομαντικής σχέσης ή ενός επενδυτικού συμβούλου.
Τέτοιου είδους μηχανισμοί συχνά καταλήγουν με τα θύματα να χάνουν τα χρήματά τους και σε ορισμένες περιπτώσεις, την απόσπαση ακόμη περισσότερων χρημάτων από αυτά ζητώντας διάφορα τέλη και άλλες πληρωμές.
Η εταιρεία που εδρεύει στη Σιγκαπούρη είπε ότι η εκστρατεία έχει παγκόσμια εμβέλεια, με θύματα να αναφέρονται σε όλη την Ασία-Ειρηνικό, την Ευρώπη, τη Μέση Ανατολή και την Αφρική. Οι ψεύτικες εφαρμογές, που δημιουργήθηκαν χρησιμοποιώντας το UniApp Framework, έχουν ταξινομηθεί με το όνομα UniShadowTrade.
Το σύμπλεγμα δραστηριοτήτων λέγεται ότι ήταν ενεργό τουλάχιστον από τα μέσα του 2023, δελεάζοντας τα θύματα με κακόβουλες εφαρμογές με την υπόσχεση γρήγορου οικονομικού κέρδους. Μια αξιοσημείωτη πτυχή της απειλής είναι ότι μία από τις εφαρμογές κατάφερε να ξεπεράσει ακόμη και τη διαδικασία ελέγχου του App Store της Apple, δίνοντάς της έτσι μια ψευδαίσθηση νομιμότητας και εμπιστοσύνης.
Η εν λόγω εφαρμογή, SBI-INT, δεν είναι πλέον διαθέσιμη για λήψη από την αγορά εφαρμογών, αλλά μεταμφιέστηκε ως λογισμικό για «κοινώς χρησιμοποιούμενους αλγεβρικούς μαθηματικούς τύπους και υπολογισμό εμβαδού όγκου γραφικών 3D».
Πιστεύεται ότι οι εγκληματίες του κυβερνοχώρου το πέτυχαν μέσω ενός ελέγχου που περιελάμβανε τον πηγαίο κώδικα της εφαρμογής που καθόριζε εάν η τρέχουσα ημερομηνία και ώρα είναι νωρίτερα από τις 22 Ιουλίου 2024, 00:00:00 και αν ναι, κυκλοφόρησαν μια ψεύτικη οθόνη με τύπους και γραφικά.
Μετά τον εντοπισμό της…ξεκίνησε ένα νέο μπαράζ διανομής ιστοτόπων phishing
Αλλά μόλις καταργήθηκε εβδομάδες μετά τη δημοσίευσή της, οι παράγοντες απειλής πίσω από την επιχείρηση λέγεται ότι επικεντρώθηκαν στη διανομή της εφαρμογής, τόσο για Android όσο και για iOS, μέσω ιστοτόπων phishing.
«Για τους χρήστες iOS, το πάτημα του κουμπιού λήψης ενεργοποιεί τη λήψη ενός αρχείου .plist, προτρέποντας το iOS να ζητήσει άδεια εγκατάστασης της εφαρμογής», δήλωσε ο ερευνητής του Group-IB Andrey Polovinkin.
«Ωστόσο, μετά την ολοκλήρωση της λήψης, η εφαρμογή δεν μπορεί να εκκινηθεί αμέσως. Στη συνέχεια, οι εγκληματίες του κυβερνοχώρου δίνουν οδηγίες στο θύμα να εμπιστευτεί μη αυτόματα το προφίλ προγραμματιστή του Enterprise. Μόλις ολοκληρωθεί αυτό το βήμα, η δόλια εφαρμογή τίθεται σε λειτουργία».
Οι χρήστες που καταλήγουν να εγκαταστήσουν την εφαρμογή και να την ανοίξουν καλωσορίζονται με μια σελίδα σύνδεσης, η οποία απαιτεί από τους χρήστες να δώσουν τον αριθμό τηλεφώνου και τον κωδικό πρόσβασής τους. Η διαδικασία εγγραφής περιλαμβάνει την εισαγωγή ενός κωδικού πρόσκλησης στην εφαρμογή, υποδηλώνοντας ότι οι επιτιθέμενοι στοχεύουν συγκεκριμένα άτομα για να εξαλείψουν την απάτη.
Μια επιτυχημένη εγγραφή ενεργοποιεί μια διαδικασία επίθεσης έξι σταδίων όπου τα θύματα καλούνται να παράσχουν έγγραφα ταυτότητας ως αποδεικτικά στοιχεία, προσωπικές πληροφορίες και τρέχοντα στοιχεία εργασίας, μετά από τα οποία τους ζητείται να συμφωνήσουν με τους όρους και τις προϋποθέσεις της υπηρεσίας προκειμένου να πραγματοποιήσουν τις επενδύσεις.
Μόλις γίνει η κατάθεση, οι εγκληματίες του κυβερνοχώρου στέλνουν περαιτέρω οδηγίες σε ποιο χρηματοοικονομικό μέσο να επενδύσουν και συχνά εγγυώνται ότι θα αποφέρουν υψηλές αποδόσεις, εξαπατώντας έτσι τους χρήστες να επενδύσουν όλο και περισσότερα χρήματα.
Ψευδείς υποσχέσεις
Για να διατηρήσει το τέχνασμα, η εφαρμογή είναι στημένη για να εμφανίζει τις επενδύσεις τους ως κέρδη.
Το πρόβλημα ξεκινά όταν το θύμα επιχειρεί να αποσύρει τα κεφάλαια, οπότε του ζητείται να πληρώσει πρόσθετα τέλη για να ανακτήσει τις κύριες επενδύσεις και τα υποτιθέμενα κέρδη του. Στην πραγματικότητα, τα κεφάλαια κλέβονται και εκτρέπονται σε λογαριασμούς υπό τον έλεγχο των επιτιθέμενων.
Μια άλλη νέα τακτική που υιοθέτησαν οι δημιουργοί κακόβουλου λογισμικού είναι η χρήση μιας ενσωματωμένης διαμόρφωσης που περιλαμβάνει λεπτομέρειες σχετικά με τη διεύθυνση URL που φιλοξενεί τη σελίδα σύνδεσης και άλλες πτυχές της υποτιθέμενης εφαρμογής συναλλαγών που έχει ξεκινήσει στην εφαρμογή.
Αυτές οι πληροφορίες διαμόρφωσης φιλοξενούνται σε μια διεύθυνση URL που σχετίζεται με μια νόμιμη υπηρεσία που ονομάζεται TermsFeed που προσφέρει λογισμικό συμμόρφωσης για τη δημιουργία πολιτικών απορρήτου, όρων και προϋποθέσεων και banner συναίνεσης cookie.
«Η πρώτη εφαρμογή που ανακαλύφθηκε, που διανέμεται μέσω του Apple App Store, λειτουργεί ως πρόγραμμα λήψης, απλώς ανακτώντας και εμφανίζοντας μια διεύθυνση URL εφαρμογής ιστού», είπε ο Polovinkin.
«Αντίθετα, η δεύτερη εφαρμογή, η οποία έχει ληφθεί από ιστότοπους ηλεκτρονικού -ψαρέματος- (phishing), περιέχει ήδη την εφαρμογή Ιστού στα περιουσιακά της στοιχεία».
Αυτή, ανά Group-IB, είναι μια σκόπιμη προσέγγιση που ακολουθείται από τους παράγοντες της απειλής για να ελαχιστοποιηθούν οι πιθανότητες εντοπισμού και να αποφευχθεί η εμφάνιση red flags, όταν η εφαρμογή διανέμεται μέσω του App Store.
Επιπλέον, η εταιρεία κυβερνοασφάλειας είπε ότι ανακάλυψε επίσης μια από τις ψεύτικες εφαρμογές απάτης επενδύσεων μετοχών στο Google Play Store που ονομαζόταν FINANS INSIGHTS (com.finans.insights). Μια άλλη εφαρμογή που συνδέεται με τον ίδιο προγραμματιστή, την Ueaida Wabi, είναι η FINANS TRADER6 (com.finans.trader)
Ενώ και οι δύο εφαρμογές Android δεν είναι προς το παρόν ενεργές στο Play Store, τα στατιστικά στοιχεία από το Sensor Tower δείχνουν ότι έχουν ληφθεί λιγότερες από 5.000 φορές. Η Ιαπωνία, η Νότια Κορέα και η Καμπότζη ήταν οι τρεις πρώτες χώρες που εξυπηρετήθηκαν από το FINANS INSIGHTS, ενώ η Ταϊλάνδη, η Ιαπωνία και η Κύπρος ήταν οι κύριες περιοχές όπου το FINANS TRADER6 ήταν διαθέσιμο.
Τι πρέπει να προσέχουν οι χρήστες
Συνιστάται στους χρήστες να είναι προσεκτικοί όταν ανοίγουν συνδέσμους, να μην απαντούν σε ανεπιθύμητα μηνύματα από αγνώστους στα μέσα κοινωνικής δικτύωσης και εφαρμογές γνωριμιών, να ελέγχουν τις πλατφόρμες επενδύσεων για να επαληθεύσουν εάν είναι νόμιμες και να ελέγχουν προσεκτικά τις εφαρμογές και τους εκδότες τους, τις αξιολογήσεις και τα σχόλια των χρηστών πριν τις κατεβάσουν .
«Οι εγκληματίες του κυβερνοχώρου συνεχίζουν να χρησιμοποιούν αξιόπιστες πλατφόρμες όπως το Apple Store ή το Google Play για να διανέμουν κακόβουλο λογισμικό μεταμφιεσμένο ως νόμιμες εφαρμογές, εκμεταλλευόμενοι την εμπιστοσύνη των χρηστών σε ασφαλή οικοσυστήματα», είπε ο Polovinkin.
«Τα θύματα παρασύρονται με την υπόσχεση εύκολων οικονομικών κερδών, μόνο για να διαπιστώσουν ότι δεν μπορούν να αποσύρουν κεφάλαια μετά από σημαντικές επενδύσεις. Η χρήση διαδικτυακών εφαρμογών αποκρύπτει περαιτέρω την κακόβουλη δραστηριότητα και καθιστά τον εντοπισμό πιο δύσκολο».
VIA: FoxReport.gr
