UniShadowTrade
Bei einer weitverbreiteten Betrugsoperation wurden gefälschte Handelsprogramme im Apple App Store und Google Play Store sowie Phishing-Websites eingesetzt, um Opfer zu täuschen. Dieses Schema ist Teil einer breiteren Betrugstaktik, bei der potenzielle Opfer dazu verleitet werden, in Kryptowährungen oder andere Finanzprodukte zu investieren, nachdem sie durch Vortäuschen – sei es als romantischer Partner oder als Anlageberater – Vertrauen aufgebaut haben.
Diese betrügerischen und manipulativen Taktiken führen häufig dazu, dass die Opfer ihre Investitionen verlieren und in einigen Fällen unter Druck gesetzt werden, zusätzliche Gebühren oder Kosten zu zahlen. Cybersicherheitsexperten weisen darauf hin, dass diese betrügerische Kampagne mehrere Regionen umfasst und Opfer aus dem asiatisch-pazifischen Raum, Europa, dem Nahen Osten und Afrika gemeldet wurden. Die betrügerischen Anwendungen, die mit dem UniApp Framework entwickelt wurden, werden zusammenfassend als UniShadowTrade bezeichnet.
Inhaltsverzeichnis
Die Operation ist schon seit einiger Zeit aktiv
Der Aktivitätscluster soll seit mindestens Mitte 2023 aktiv sein und Opfer mit unsicheren Anwendungen locken, die schnelle finanzielle Gewinne versprechen. Ein großes Problem ist, dass es einer dieser Apps gelungen ist, den Überprüfungsprozess des App Store von Apple zu umgehen, was ein falsches Gefühl von Legitimität und Vertrauen erzeugt. Die Anwendung mit dem Namen SBI-INT wurde inzwischen vom Markt genommen, gab sich aber zunächst als Software für „häufig verwendete algebraische mathematische Formeln und 3D-Grafik-Volumenflächenberechnungen“ aus.
Man geht davon aus, dass die Cyberkriminellen dies erreichten, indem sie im Quellcode der Anwendung eine Prüfung implementierten, um festzustellen, ob das aktuelle Datum und die aktuelle Uhrzeit vor dem 22. Juli 2024, 00:00:00 Uhr liegen. In diesem Fall zeigte die App einen irreführenden Bildschirm voller Formeln und Grafiken an. Nachdem die App einige Wochen nach dem Start vom Netz genommen wurde, verlagerten die Bedrohungsakteure ihren Fokus Berichten zufolge auf die Verbreitung der App über Phishing-Websites für Android- und iOS-Plattformen.
Wie diese schädlichen Anwendungen funktionieren
Bei iOS-Benutzern wird durch Klicken auf die Download-Schaltfläche der Download einer .plist-Datei eingeleitet, die das System auffordert, die Berechtigung zur Installation der Anwendung anzufordern. Nach Abschluss des Downloads kann die Anwendung jedoch nicht sofort gestartet werden. Cyberkriminelle weisen das Opfer dann an, dem Enterprise-Entwicklerprofil manuell zu vertrauen. Sobald dieser Schritt abgeschlossen ist, kann die betrügerische Anwendung aktiviert werden.
Benutzer, die die Anwendung installieren und öffnen, werden von einer Anmeldeseite begrüßt, auf der sie nach ihrer Telefonnummer und ihrem Passwort gefragt werden. Der Registrierungsprozess umfasst die Eingabe eines Einladungscodes, was darauf hinweist, dass sich die Angreifer auf bestimmte Ziele konzentrieren, um ihre Taktik auszuführen.
Nach erfolgreicher Registrierung durchlaufen die Opfer eine sechsstufige Angriffssequenz. Sie werden unter Druck gesetzt, zur Überprüfung Ausweisdokumente, persönliche Daten und aktuelle Beschäftigungsinformationen vorzulegen. Anschließend werden sie aufgefordert, den Geschäftsbedingungen des Dienstes zuzustimmen, um mit ihren Investitionen fortfahren zu können.
Nach der Einzahlung geben die Cyberkriminellen zusätzliche Anweisungen, in welche Finanzinstrumente investiert werden soll, und versprechen dabei oft hohe potenzielle Renditen. Um die Täuschung aufrechtzuerhalten, wird die Anwendung so manipuliert, dass die Investitionen der Opfer so angezeigt werden, als würden sie Gewinne abwerfen.
Schwerwiegende Folgen, wenn man auf diese Taktik hereinfällt
Probleme entstehen, wenn das Opfer versucht, sein Geld abzuheben. Dann wird es aufgefordert, zusätzliche Gebühren zu zahlen, um seine ursprünglichen Investitionen und angeblichen Gewinne zurückzuerhalten. In Wirklichkeit wurden die Gelder eingesammelt und auf Konten umgeleitet, die von den Angreifern kontrolliert werden.
Eine weitere innovative Taktik der Malware-Entwickler besteht darin, eine Konfiguration einzubetten, die die URL angibt, unter der die Anmeldeseite und andere Details der gefälschten Handelsanwendung gehostet werden. Diese Konfiguration wird auf einer URL gehostet, die mit einem legitimen Dienst namens TermsFeed verknüpft ist, der Compliance-Software zum Erstellen von Datenschutzrichtlinien, Allgemeinen Geschäftsbedingungen und Cookie-Einwilligungsbannern bereitstellt.
Die erste identifizierte Anwendung, die über den Apple App Store verbreitet wird, fungiert als Downloader, der lediglich eine Web-App-URL abruft und anzeigt. Im Gegensatz dazu enthält die zweite Anwendung, die von Phishing-Websites bezogen wurde, die Web-App bereits in ihren Assets.
Die Forscher weisen darauf hin, dass es sich bei dieser Methode um eine strategische Entscheidung der Bedrohungsakteure handelt. Sie soll die Wahrscheinlichkeit einer Entdeckung verringern und das Auslösen von Alarmen bei der Verbreitung der App über den App Store vermeiden.
Auch Android-Nutzer waren gefährdet
Cybersicherheitsexperten identifizierten im Google Play Store außerdem eine betrügerische Aktienanlage-App namens FINANS INSIGHTS (com.finans.insights). Eine weitere mit demselben Entwickler, Ueaida Wabi, verbundene App ist FINANS TRADER6 (com.finans.trader).
Obwohl beide Android-Anwendungen derzeit im Play Store inaktiv sind, wurden sie weniger als 5.000 Mal heruntergeladen. FINANS INSIGHTS richtete sich hauptsächlich an Benutzer in Japan, Südkorea und Kambodscha, während FINANS TRADER6 hauptsächlich in Thailand, Japan und Zypern verfügbar war.
Seien Sie skeptisch gegenüber unerwarteten Nachrichten
Benutzer werden dringend gebeten, beim Anklicken von Links vorsichtig zu sein und nicht auf unerwünschte Nachrichten von unbekannten Personen in sozialen Medien und auf Dating-Plattformen zu reagieren. Es ist wichtig, die Legitimität von Anlageplattformen zu überprüfen und Apps, einschließlich ihrer Herausgeber, Bewertungen und Benutzerrezensionen, vor dem Herunterladen sorgfältig zu prüfen.
Cyberkriminelle nutzen weiterhin vertrauenswürdige Plattformen wie den Apple App Store und Google Play, um als legitime Anwendungen getarnte Malware zu verbreiten und das Vertrauen der Benutzer in diese sicheren Umgebungen auszunutzen. Opfer werden mit Versprechungen schneller finanzieller Gewinne angelockt, stellen dann aber fest, dass sie ihr Geld nach erheblichen Investitionen nicht abheben können. Die Verwendung webbasierter Anwendungen verschleiert die unsichere Aktivität zusätzlich und erschwert die Erkennung noch mehr.
