Een grootschalige fraudecampagne maakte gebruik van nep-handelsapps gepubliceerd in de Apple App Store en Google Play Store, evenals van phishing-sites, om slachtoffers te bedriegen, zo blijkt uit bevindingen van Group-IB.
De campagne maakt deel uit van een fraudeprogramma voor consumenteninvesteringen dat ook algemeen bekend staat als varkensslachting, waarbij potentiële slachtoffers worden verleid om te investeren in cryptocurrency of andere financiële instrumenten nadat ze hun vertrouwen hebben gewonnen onder het mom van een romantische relatie of een beleggingsadviseur.
Dergelijke manipulatieve en social engineering-operaties eindigen er vaak in dat de slachtoffers hun geld verliezen, en in sommige gevallen zelfs nog meer geld uit hen halen door verschillende vergoedingen en andere betalingen te vragen.
Het bedrijf met het hoofdkantoor in Singapore zei dat de campagne een mondiaal bereik heeft, met slachtoffers in de regio Azië-Pacific, Europa, het Midden-Oosten en Afrika. De nep-apps, gebouwd met behulp van het UniApp Framework, zijn geclassificeerd onder de naam UniShadowTrade.
Het activiteitencluster zou in ieder geval sinds medio 2023 actief zijn en slachtoffers lokken met kwaadaardige apps met de belofte van snel financieel gewin. Een opmerkelijk aspect van de dreiging is dat een van de apps zelfs voorbij het beoordelingsproces van de App Store van Apple wist te komen, waardoor het een illusie van legitimiteit en vertrouwen kreeg.
De app in kwestie, SBI-INT, kan niet langer worden gedownload van de app-marktplaats, maar deed zich voor als software voor “veelgebruikte algebraïsche wiskundige formules en berekening van het volumeoppervlak in 3D-graphics.”
Er wordt aangenomen dat de cybercriminelen dit hebben bereikt door middel van een controle die de broncode van de app omvatte en controleerde of de huidige datum en tijd eerder zijn dan 22 juli 2024, 00:00:00 uur, en zo ja, een nepscherm met formules lanceerden. en afbeeldingen.
Maar toen het weken na de publicatie werd verwijderd, zouden de bedreigingsactoren achter de operatie zich hebben toegelegd op het verspreiden van de app, zowel voor Android als iOS, via phishing-websites.
“Voor iOS-gebruikers activeert het indrukken van de downloadknop het downloaden van een .plist-bestand, waardoor iOS om toestemming vraagt om de applicatie te installeren”, aldus Group-IB-onderzoeker Andrey Polovinkin.
“Nadat het downloaden is voltooid, kan de applicatie echter niet onmiddellijk worden gestart. Het slachtoffer krijgt vervolgens van de cybercriminelen de opdracht om het Enterprise-ontwikkelaarsprofiel handmatig te vertrouwen. Zodra deze stap is voltooid, wordt de frauduleuze applicatie operationeel.”
Gebruikers die de app uiteindelijk installeren en openen, worden begroet met een inlogpagina, waarbij gebruikers hun telefoonnummer en wachtwoord moeten opgeven. Het registratieproces omvat het invoeren van een uitnodigingscode in de app, wat erop wijst dat de aanvallers zich op specifieke individuen richten om de zwendel uit te voeren.
Een succesvolle registratie leidt tot een aanvalsproces van zes stappen, waarbij de slachtoffers worden aangespoord om identiteitsdocumenten als bewijs, persoonlijke informatie en huidige baangegevens te verstrekken, waarna hen wordt gevraagd akkoord te gaan met de algemene voorwaarden van de dienst om de investeringen te kunnen doen.
Zodra de storting is gedaan, sturen de cybercriminelen verdere instructies over in welk financieel instrument ze moeten investeren en garanderen ze vaak dat ze een hoog rendement zullen opleveren, waardoor gebruikers worden misleid om steeds meer geld te investeren. Om de list in stand te houden, is de app zo gemanipuleerd dat hun investeringen winst opleveren.
De problemen beginnen wanneer het slachtoffer probeert het geld op te nemen, waarna hem wordt gevraagd extra kosten te betalen om zijn belangrijkste investeringen en vermeende winsten terug te krijgen. In werkelijkheid wordt het geld gestolen en naar rekeningen geleid die onder controle van de aanvallers staan.
Een andere nieuwe tactiek die door de malware-auteurs wordt toegepast, is het gebruik van een ingebedde configuratie die details bevat over de URL die de inlogpagina host en andere aspecten van de vermeende handelsapplicatie die in de app wordt gelanceerd.
Deze configuratie-informatie wordt gehost op een URL die is gekoppeld aan een legitieme service genaamd TermsFeed, die nalevingssoftware biedt voor het genereren van privacybeleid, algemene voorwaarden en banners voor toestemming voor cookies.
“De eerste ontdekte applicatie, gedistribueerd via de Apple App Store, functioneert als een downloader, waarbij alleen een web-app-URL wordt opgehaald en weergegeven”, aldus Polovinkin. “De tweede applicatie, gedownload van phishing-websites, bevat daarentegen al de web-app in zijn activa.”
Volgens Group-IB is dit een doelbewuste aanpak van de bedreigingsactoren om de kansen op detectie te minimaliseren en te voorkomen dat er alarmsignalen worden gegenereerd wanneer de app via de App Store wordt gedistribueerd.
Bovendien zei het cyberbeveiligingsbedrijf dat het ook een van de nep-apps voor het beleggen van aandelen in de Google Play Store had ontdekt met de naam FINANS INSIGHTS (com.finans.insights). Een andere app gekoppeld aan dezelfde ontwikkelaar, Ueaida Wabi, is FINANS TRADER6 (com.finans.trader)
Hoewel beide Android-apps niet aanwezig zijn in de Play Store, laten statistieken van Sensor Tower zien dat ze minder dan 5.000 keer zijn gedownload. Japan, Zuid-Korea en Cambodja waren de drie belangrijkste landen waar FINANS INSIGHTS actief was, terwijl Thailand, Japan en Cyprus de belangrijkste regio’s waren waar FINANS TRADER6 beschikbaar was.
“Cybercriminelen blijven vertrouwde platforms zoals de Apple Store of Google Play gebruiken om malware te verspreiden, vermomd als legitieme applicaties, en misbruiken daarmee het vertrouwen van gebruikers in veilige ecosystemen”, aldus Polovinkin.
“Slachtoffers worden binnengelokt met de belofte van gemakkelijk financieel gewin, maar ontdekken dat ze na aanzienlijke investeringen niet in staat zijn geld op te nemen. Het gebruik van webgebaseerde applicaties verbergt de kwaadaardige activiteit verder en maakt detectie moeilijker.”