Cybercriminelen gebruiken een netwerk van ingehuurde geldmuilezels in India die een op Android gebaseerde applicatie gebruiken om een grootschalig witwasprogramma te orkestreren.
De kwaadaardige toepassing, genaamd XHelperis een “belangrijk hulpmiddel voor het aan boord gaan en beheren van deze geldmuilezels”, aldus CloudSEK-onderzoekers Sparsh Kulshrestha, Abhishek Mathew en Santripti Bhujel in een rapport.
Details over de zwendel kwamen voor het eerst aan het licht eind oktober 2023, toen bleek dat Chinese cybercriminelen misbruik maakten van het feit dat Indiase Unified Payments Interface (UPI)-dienstverleners zonder dekking opereren onder de Prevention of Money Laundering Act (PMLA) om illegale transacties te initiëren. onder het mom van het aanbieden van een directe lening.
De onrechtmatig verkregen opbrengsten van de operatie worden overgemaakt naar andere rekeningen van ingehuurde muilezels, die via Telegram worden gerekruteerd in ruil voor commissies variërend van 1-2% van de totale transactiebedragen.
“Centraal in deze operatie staan Chinese betalingsgateways die de QR-codefunctie van UPI met precisie exploiteren”, merkte het cyberbeveiligingsbedrijf destijds op.
“Het plan maakte gebruik van een netwerk van meer dan honderdduizenden gecompromitteerde ‘money mule’-rekeningen om illegale gelden via frauduleuze betaalkanalen te sluizen en deze uiteindelijk terug te sturen naar China.”
Deze muilezels worden efficiënt beheerd met behulp van XHelper, dat ook de technologie achter valse betalingsgateways faciliteert die worden gebruikt bij het slachten van varkens en andere oplichting. De app wordt verspreid via websites die zich voordoen als legitieme bedrijven onder het mom van ‘Money Transfer Business’.
De app biedt verder de mogelijkheid voor muilezels om hun inkomsten bij te houden en het hele proces van uitbetalingen en incasso te stroomlijnen. Dit omvat een eerste installatieproces waarbij hen wordt gevraagd hun unieke UPI-ID’s in een bepaald formaat te registreren en de inloggegevens voor online bankieren te configureren.
Hoewel uitbetalingen een snelle overdracht van geld naar vooraf aangewezen rekeningen binnen 10 minuten mogelijk maken, zijn incasso-opdrachten passiever van aard, waarbij de geregistreerde rekeningen inkomend geld ontvangen van andere oplichters die het platform gebruiken.
“Money mules activeren de orderinname binnen de XHelper-app, waardoor ze witwastaken kunnen ontvangen en uitvoeren”, aldus de onderzoekers. “Het systeem wijst automatisch orders toe, mogelijk gebaseerd op vooraf bepaalde criteria of muilezelprofielen.”
Zodra een illegale geldoverdracht is uitgevoerd met behulp van de gekoppelde bankrekening, wordt van muilezels ook verwacht dat ze bewijs van de transactie uploaden in de vorm van screenshots, die vervolgens worden gevalideerd in ruil voor financiële beloningen, waardoor voortdurende deelname wordt gestimuleerd.
De functies van XHelper strekken zich ook uit tot het uitnodigen van anderen om mee te doen als agenten, die verantwoordelijk zijn voor het rekruteren van de muilezels. Het manifesteert zich als een verwijzingssysteem waarmee ze bonussen kunnen krijgen voor elke nieuwe rekruut, waardoor een steeds groter wordend netwerk van agenten en muilezels ontstaat.
“Dit verwijzingssysteem volgt een piramideachtige structuur, waardoor de massale rekrutering van zowel agenten als geldezels wordt gestimuleerd, waardoor het bereik van illegale activiteiten wordt vergroot”, aldus de onderzoekers. “Agenten rekruteren op hun beurt meer muilezels en nodigen extra agenten uit, waardoor de groei van dit onderling verbonden netwerk wordt bestendigd.”
Een andere opmerkelijke functie van XHelper is het trainen van muilezels om gestolen geld efficiënt wit te wassen met behulp van een Learning Management System (LMS) dat tutorials biedt over het openen van valse bedrijfsbankrekeningen (die hogere transactielimieten hebben), de verschillende workflows en manieren om meer commissie te verdienen. .
Naast het bevorderen van de UPI-functie die is ingebouwd in legitieme bank-apps voor het uitvoeren van de overboekingen, fungeert het platform als een hub voor het vinden van manieren om het bevriezen van accounts te omzeilen, zodat muilezels hun illegale activiteiten kunnen voortzetten. Ze krijgen ook training in het afhandelen van klantondersteuningsoproepen van banken om verdachte transacties te verifiëren.
“Hoewel XHelper als zorgwekkend voorbeeld dient, is het van cruciaal belang om te onderkennen dat dit geen op zichzelf staand incident is”, aldus CloudSEK, eraan toevoegend dat het een “groeiend ecosysteem van vergelijkbare applicaties heeft ontdekt die het witwassen van geld via verschillende vormen van oplichting mogelijk maken.”
In december 2023 maakte Europol bekend dat in de tweede helft van 2023 1.013 personen waren gearresteerd als onderdeel van een mondiale inspanning om het witwassen van geld aan te pakken. De internationale wetshandhavingsoperatie leidde ook tot de identificatie van 10.759 geldezels en 474 rekruteurs (ook wel herders genoemd).
De onthulling komt op het moment dat Kaspersky onthulde dat malware-, adware- en riskware-aanvallen op mobiele apparaten tussen februari 2023 en het einde van het jaar gestaag toenamen.
“De Android-malware- en riskware-activiteit steeg in 2023 na twee jaar van relatieve rust, en keerde tegen het einde van het jaar terug naar het niveau van begin 2021”, merkte de Russische beveiligingsleverancier op. “Adware was verantwoordelijk voor het merendeel van de bedreigingen die in 2023 werden gedetecteerd.”
