Uma grande campanha de fraude utilizou aplicações comerciais falsas publicadas na Apple App Store e na Google Play Store, bem como sites de phishing, para fraudar as vítimas, de acordo com as conclusões do Grupo-IB.
A campanha faz parte de um esquema de fraude de investimento ao consumidor amplamente conhecido como abate de porcos, onde potenciais vítimas são atraídas a investir em criptomoedas ou outros instrumentos financeiros depois de ganharem a sua confiança sob o disfarce de um relacionamento romântico ou de um consultor de investimentos.
Essas atividades fraudulentas e de engenharia social muitas vezes resultam na perda do dinheiro das vítimas e, em alguns casos, na extorsão de mais dinheiro, solicitando diferentes taxas e outros pagamentos.
A empresa sediada em Singapura disse que a campanha poderia alcançar o mundo inteiro, com vítimas relatadas na Ásia-Pacífico, Europa, Médio Oriente e África. Aplicativos falsos, desenvolvidos usando o UniApp Framework, estão incluídos sob o apelido UniShadowTrade.
Diz-se que o grupo está ativo pelo menos desde meados de 2023, atraindo vítimas com aplicativos maliciosos com a promessa de lucros rápidos em dinheiro. Uma característica notável da ameaça é que um dos aplicativos conseguiu passar no processo de revisão da App Store da Apple, dando assim a ilusão de legitimidade e confiança.
O aplicativo em questão, SBI-INT, não está mais disponível para download no mercado de aplicativos, mas foi desenvolvido como software para “fórmulas algébricas comumente usadas em cálculos de espaço de imagens 3D”.
Acredita-se que os hackers tenham conseguido isso com uma verificação que incluía o código-fonte do aplicativo que verificava se a data e hora atuais eram anteriores a 22 de julho de 2024, 00:00:00 e, em caso afirmativo, apresentavam uma tela falsa com fórmulas. e desenhos.
Mas quando foi retirado do ar, algumas semanas após sua publicação, os atores da ameaça no projeto supostamente votaram pela distribuição do aplicativo, para Android e iOS, por meio de sites de phishing.
“Para usuários de iOS, pressionar o botão de download ativa o download do arquivo .plist, o que faz com que o iOS peça permissão para instalar o programa”, disse o pesquisador do Grupo-IB, Andrey Polovinkin.
“No entanto, após a conclusão do download, o aplicativo não pode ser iniciado imediatamente. A vítima é então instruída pelos hackers a confiar manualmente no perfil de desenvolvedor corporativo. Assim que esta etapa for concluída, o aplicativo falso começa a ser executado.”
Os usuários que instalam o aplicativo e o iniciam são recebidos com uma página de login, que exige que os usuários forneçam seu número de telefone e senha. O processo de registro envolve inserir um código de convite no aplicativo, sugerindo que os invasores tenham como alvo indivíduos específicos para executar o golpe.
Um registro bem-sucedido resulta em um processo de ataque de seis etapas, em que as vítimas são solicitadas a fornecer credenciais como comprovantes, informações pessoais e detalhes atuais do trabalho, após o que são solicitadas a concordar com os termos e condições do serviço para fazer uma avaliação. investimento.
Assim que o depósito é feito, os hackers enviam mais instruções sobre em que instrumento financeiro investir e muitas vezes garantem que proporcionarão um retorno elevado, enganando assim os utilizadores para que invistam demasiado dinheiro. Para manter a estratégia, o aplicativo foi reforçado para mostrar seu investimento como ganho.
O problema começa quando a vítima tenta levantar os fundos, altura em que é solicitada a pagar taxas adicionais para recuperar o seu investimento principal e os benefícios pretendidos. Na verdade, os fundos são roubados e transferidos para contas sob o controle dos invasores.
Outro novo truque descoberto pelos autores de malware é usar configuração incorporada que inclui informações específicas sobre o URL que hospeda a página de login e outros recursos do aplicativo comercial alvo iniciado dentro do aplicativo.
Essas informações de configuração são hospedadas em uma URL associada a um serviço oficial chamado TermosFeed, que fornece software de conformidade para gerar políticas de privacidade, termos e condições e banners de consentimento de cookies.
“O primeiro programa encontrado, distribuído pela Apple App Store, funciona como um downloader, apenas extrai e exibe a URL do aplicativo web”, disse Polovinkin. “Em contraste, o segundo programa, baixado de sites de phishing, já contém um aplicativo da web em sua carga útil”.
Esta, de acordo com o Group-IB, é uma abordagem deliberada adotada pelos atores da ameaça para reduzir as chances de detecção e evitar alertas quando um aplicativo é distribuído pela App Store.
Além disso, a empresa de segurança cibernética disse que também encontrou um dos aplicativos fraudulentos de investimento em ações na Google Play Store chamado FINANS INSIGHTS (com.finans.insights). Outro aplicativo vinculado ao mesmo desenvolvedor, Ueaida Wabi, é o FINANS TRADER6 (com.finans.trader)
Embora ambos os aplicativos Android não estejam na Google Play Store, as estatísticas da Sensor Tower mostram que eles foram baixados menos de 5.000 vezes. Japão, Coreia do Sul e Camboja foram os três principais países atendidos pelo FINANS INSIGHTS, enquanto Tailândia, Japão e Chipre foram as principais regiões onde o FINANS TRADER6 estava localizado.
“Os cibercriminosos continuam a usar plataformas confiáveis como a Apple Store ou o Google Play para distribuir malware disfarçado de aplicativos legítimos, explorando a confiança dos usuários em ecossistemas seguros”, disse Polovinkin.
“As vítimas são atraídas com a promessa de benefícios financeiros fáceis, apenas para descobrirem que não podem retirar os fundos depois de fazerem investimentos significativos. A utilização de aplicações baseadas na Web também esconde atividades maliciosas e torna a deteção ainda mais difícil”.
