Uma campanha de fraude em larga escala usou Trading Apps falsos publicados na Apple App Store e na Google Play Store, bem como sites de phishing, para fraudar as vítimas, de acordo com as descobertas do Group-IB.
Esta campanha faz parte de um esquema mais amplo de fraude de investimento ao consumidor, comumente conhecido como “pig butchering”. Neste esquema, as vítimas são atraídas a investir em criptomoedas ou outros instrumentos financeiros, geralmente após construir confiança sob o pretexto de um relacionamento romântico ou como conselho de um suposto especialista em investimentos.
Essas táticas de engenharia social manipuladora geralmente resultam na perda de fundos das vítimas e, em alguns casos, na coação a fazer pagamentos adicionais solicitando várias taxas.
O Group-IB, sediado em Cingapura, declarou que a campanha tem alcance global, com vítimas relatadas na Ásia-Pacífico, Europa, Oriente Médio e África. Os aplicativos fraudulentos, desenvolvidos usando o UniApp Framework, são identificados sob o nome UniShadowTrade.
Este grupo está ativo desde meados de 2023, atraindo vítimas com aplicativos maliciosos que prometem retornos financeiros rápidos. Um aspecto significativo dessa ameaça é que um dos aplicativos conseguiu contornar o processo de revisão da App Store da Apple, o que lhe deu uma falsa sensação de legitimidade.
O aplicativo, chamado SBI-INT, não está mais disponível para download, mas inicialmente se apresentava como um software para calcular fórmulas algébricas e áreas de volume de gráficos 3D. Acredita-se que o aplicativo incluía um mecanismo que exibia uma tela falsa com fórmulas matemáticas se aberto antes de 22 de julho de 2024, 00:00:00.
Após sua remoção, os agentes da ameaça passaram a distribuir o aplicativo para Android e iOS por meio de sites de phishing.
“Para usuários do iOS, pressionar o botão de download aciona o download de um arquivo .plist, solicitando que o iOS peça permissão para instalar o aplicativo”, explicou o pesquisador do Group-IB Andrey Polovinkin.
Depois que o aplicativo é baixado, as vítimas são instruídas aconfiar manualmente no perfil do desenvolvedor Enterprise antes que o aplicativo fraudulento se torne operacional.
Ao abrir o aplicativo, as vítimas são recebidas com uma página de login solicitando seu número de telefone e senha. O processo de registro requer um código de convite, sugerindo que os invasores estão mirando indivíduos específicos.
Após o registro bem-sucedido, as vítimas passam por um processo de seis etapas no qual são solicitadas a fornecer identificação, detalhes pessoais e informações de emprego antes de concordar com os termos do serviço para prosseguir com seus investimentos.
Depois que as vítimas fazem depósitos, elas recebem instruções sobre em qual instrumento financeiro investir, com promessas de altos retornos. O aplicativo é projetado para exibir ganhos de investimento falsos, enganando os usuários para que invistam mais fundos.
Na imagem diz:
- A vítima insere um documento de identidade ou passaporte válido e também é solicitado que carregue uma foto do seu documento de identidade.
- As vítimas inserem informações pessoais, incluindo nome, sexo, aniversário, endereço e outros.
- As vítimas são obrigadas a inserir suas informações de carreira, incluindo cargo, nome da empresa, endereço da empresa e outros.
- As vítimas recebem um acordo e divulgação, buscando seu consentimento e reconhecimento para:
Contrato do cliente e declaração de imposto de renda
Declaração de advertência de risco para produtos de investimento listados no exterior
Concordar em usar informações pessoais e para fins de marketing
Confirmar e concordar com notificações eletrônicas
Contrato de assinatura de dados de mercado - As vítimas são solicitadas a recarregar seu saldo.
- Os criminosos cibernéticos enviam instruções sobre em qual instrumento investir e roubam os fundos das vítimas.
O problema surge quando as vítimas tentam retirar seus fundos, momento em que são solicitadas a pagar taxas adicionais para recuperar seus investimentos iniciais e supostos lucros. Na realidade, os fundos são roubados e redirecionados para contas controladas pelos invasores.
Uma tática inovadora usada pelos autores do malware envolve a incorporação de detalhes de configuração no aplicativo. Isso inclui detalhes como a URL que hospeda a página de login e outros recursos do chamado aplicativo de negociação.
Os dados de configuração são hospedados em uma URL vinculada a um serviço legítimo chamado TermsFeed, que fornece ferramentas de conformidade para criar políticas de privacidade, termos e condições e banners de consentimento de cookies.
“O primeiro aplicativo, descoberto na Apple App Store, atua como um downloader, recuperando e mostrando apenas uma URL de aplicativo da web”, disse Polovinkin. “Por outro lado, o segundo aplicativo, baixado de sites de phishing, já contém o aplicativo da web em seus ativos.”
De acordo com o Group-IB, essa estratégia ajuda os agentes de ameaças a minimizar os riscos de detecção e evitar suspeitas ao distribuir o aplicativo pela App Store.
A empresa de segurança cibernética também descobriu outro aplicativo falso de investimento em ações na Google Play Store, chamado FINANS INSIGHTS (com.finans.insights). Outro aplicativo relacionado do mesmo desenvolvedor, Ueaida Wabi, foi nomeado FINANS TRADER6 (com.finans.trader6).
Embora ambos os aplicativos não estejam mais ativos na Play Store, dados da Sensor Tower revelam que eles foram baixados menos de 5.000 vezes. Japão, Coreia do Sul e Camboja foram os principais países onde o FINANS INSIGHTS estava disponível, enquanto Tailândia, Japão e Chipre foram as principais regiões para o FINANS TRADER6.
Os usuários são aconselhados a ter cuidado ao clicar em links, evitar responder a mensagens não solicitadas de contatos desconhecidos em mídias sociais e plataformas de namoro, revisar plataformas de investimento para legitimidade e inspecionar cuidadosamente os aplicativos, seus desenvolvedores, classificações e avaliações de usuários antes de fazer o download.
“Os cibercriminosos continuam a explorar plataformas confiáveis como a Apple Store e o Google Play para distribuir malware disfarçado de aplicativos legítimos, atacando a confiança dos usuários em ecossistemas seguros”, acrescentou Polovinkin.
“As vítimas são atraídas por promessas de ganhos financeiros fáceis, apenas para descobrir que não podem sacar fundos após investir quantias substanciais. O uso de aplicativos baseados na web oculta a atividade maliciosa, tornando-a mais difícil de detectar.”
Source: TheHackerNews