Uma campanha de fraude em grande escala aproveitou aplicativos comerciais falsos publicados na Apple App Retailer e Google Play Retailer, bem como websites de phishing, para fraudar as vítimas, de acordo com as conclusões do Grupo-IB.
A campanha faz parte de um esquema de fraude de investimento ao consumidor, também conhecido como abate de porcos, no qual possíveis vítimas são atraídas a fazer investimentos em criptomoedas ou outros instrumentos financeiros após ganharem sua confiança sob o pretexto de um relacionamento romântico ou de um consultor de investimentos.
Estas operações de manipulação e engenharia social muitas vezes terminam com a perda dos fundos das vítimas e, em alguns casos, com a extração de ainda mais dinheiro através da solicitação de diversas taxas e outros pagamentos.
A empresa com sede em Singapura disse que a campanha tem alcance international, com vítimas relatadas na Ásia-Pacífico, Europa, Médio Oriente e África. Os aplicativos falsos, desenvolvidos usando o UniApp Framework, foram classificados sob o apelido UniShadowTrade.
Diz-se que o cluster de atividades está ativo pelo menos desde meados de 2023, atraindo vítimas com aplicativos maliciosos com a promessa de ganho financeiro rápido. Um aspecto digno de nota da ameaça é que um dos aplicativos conseguiu passar pelo processo de revisão da App Retailer da Apple, dando-lhe assim uma ilusão de legitimidade e confiança.
O aplicativo em questão, SBI-INT, não está mais disponível para obtain no mercado de aplicativos, mas se disfarçou como um software program para “fórmulas matemáticas algébricas comumente usadas e cálculo de área de quantity de gráficos 3D”.
Acredita-se que os cibercriminosos conseguiram isso por meio de uma verificação que incluía o código-fonte do aplicativo que verificava se an information e hora atuais eram anteriores a 22 de julho de 2024, 00:00:00 e, em caso afirmativo, lançavam uma tela falsa com fórmulas e gráficos.
Mas, uma vez retirado do ar semanas após sua publicação, os atores da ameaça por trás da operação teriam se concentrado na distribuição do aplicativo, tanto para Android quanto para iOS, por meio de websites de phishing.
“Para usuários de iOS, pressionar o botão de obtain aciona o obtain de um arquivo .plist, fazendo com que o iOS peça permissão para instalar o aplicativo”, disse Andrey Polovinkin, pesquisador do Group-IB.
“No entanto, após a conclusão do obtain, o aplicativo não pode ser iniciado imediatamente. A vítima é então instruída pelos cibercriminosos a confiar manualmente no perfil do desenvolvedor Enterprise. Uma vez concluída esta etapa, o aplicativo fraudulento se torna operacional.”
Os usuários que acabam instalando o aplicativo e abrindo-o são recebidos com uma página de login, exigindo que forneçam seu número de telefone e senha. O processo de registro envolve a inserção de um código de convite no aplicativo, sugerindo que os invasores têm como alvo indivíduos específicos para realizar o golpe.
Um registo bem-sucedido desencadeia um processo de ataque em seis etapas, no qual as vítimas são instadas a fornecer documentos de identidade como prova, informações pessoais e detalhes atuais do trabalho, após o que são solicitadas a concordar com os termos e condições do serviço para fazer os investimentos.
Uma vez efetuado o depósito, os cibercriminosos enviam mais instruções sobre o instrumento financeiro em que investir e muitas vezes garantem que produzirão retornos elevados, enganando assim os utilizadores para que invistam cada vez mais dinheiro. Para manter o estratagema, o aplicativo é configurado para exibir seus investimentos como ganhos.
O problema começa quando a vítima tenta levantar os fundos, altura em que é solicitada a pagar taxas adicionais para recuperar os seus principais investimentos e supostos ganhos. Na realidade, os fundos são roubados e desviados para contas sob o controlo dos atacantes.
Outra nova tática adotada pelos autores do malware é o uso de uma configuração incorporada que inclui detalhes sobre a URL que hospeda a página de login e outros aspectos do suposto aplicativo comercial lançado dentro do aplicativo.
Essas informações de configuração são hospedadas em uma URL associada a um serviço legítimo chamado TermosFeed, que oferece software program de conformidade para gerar políticas de privacidade, termos e condições e banners de consentimento de cookies.
“O primeiro aplicativo descoberto, distribuído pela Apple App Retailer, funciona como um downloader, apenas recuperando e exibindo a URL de um aplicativo da net”, disse Polovinkin. “Em contraste, o segundo aplicativo, baixado de websites de phishing, já contém o aplicativo net em seus ativos”.
Esta, de acordo com o Grupo-IB, é uma abordagem deliberada adotada pelos atores da ameaça para minimizar as probabilities de detecção e evitar alertas quando o aplicativo é distribuído pela App Retailer.
Além disso, a empresa de segurança cibernética disse que também descobriu um dos aplicativos falsos de golpes de investimento em ações na Google Play Retailer, chamado FINANS INSIGHTS (com.finans.insights). Outro aplicativo vinculado ao mesmo desenvolvedor, Ueaida Wabi, é o FINANS TRADER6 (com.finans.dealer)
Embora ambos os aplicativos Android não estejam presentes na Play Retailer, as estatísticas da Sensor Tower mostram que eles foram baixados menos de 5.000 vezes. Japão, Coreia do Sul e Camboja foram os três principais países atendidos pelo FINANS INSIGHTS, enquanto Tailândia, Japão e Chipre foram as principais regiões onde o FINANS TRADER6 estava disponível.
“Os cibercriminosos continuam a usar plataformas confiáveis, como a Apple Retailer ou o Google Play, para distribuir malware disfarçado de aplicativos legítimos, explorando a confiança dos usuários em ecossistemas seguros”, disse Polovinkin.
“As vítimas são atraídas com a promessa de ganhos financeiros fáceis, apenas para descobrirem que não conseguem levantar fundos depois de fazerem investimentos significativos. A utilização de aplicações baseadas na Internet oculta ainda mais a actividade maliciosa e torna a detecção mais difícil”.
