Эти приложения и фишинговые сайты использовались для обмана жертв и кражи их средств.
Мошенничество связано со схемой Pig Butchering, при которой злоумышленники медленно завоёвывают доверие жертв через виртуальное общение — как романтическое, так и под видом инвестиционных консультаций. Затем они убеждают жертв вкладывать средства в криптовалюту или финансовые инструменты. Часто такие махинации приводят к потере вложений, а иногда и к дополнительным платежам со стороны жертв под разными предлогами.
Выявленная Group-IB мошенническая операция получила название UniShadowTrade, а ведётся она ещё с середины 2023 года. Используя приложения, созданные на основе UniApp Framework, злоумышленники охватили жертв по всему миру, включая Азиатско-Тихоокеанского регион, Европу, Ближний Восток и Африку. Одно из приложений даже обошло систему проверки Apple, что повысило его доверие в глазах пользователей.
Приложение SBI-INT, которое уже удалено из App Store, маскировалось под программу для математических расчётов и графиков, хотя на самом деле использовало проверку времени и даты, чтобы скрыть истинную цель до определённого момента. После удаления из официального магазина злоумышленники переключились на распространение этой программы через фишинговые сайты.
Для загрузки фальшивого приложения на iOS, жертвам предлагалось установить файл с расширением «.plist» и вручную выдать разрешение профилю разработчика. После этих действий приложение становилось полностью функциональным, запрашивая телефон и пароль для входа. Процесс регистрации подразумевал использование кода-приглашения, что указывает на попытку целевого обмана.
Весь процесс состоит из шести шагов, включая подтверждение личности, предоставление персональных данных и деталей о работе. Затем жертв просят согласиться с условиями сервиса для осуществления инвестиций. После внесения депозита злоумышленники «рекомендуют» вложиться в определённые финансовые инструменты, обещая высокую прибыль, а приложение демонстрирует рост вложений, чтобы удержать жертв в схеме.
Тем не менее, как бы сладко не звучали предложения мошенников, попытки вывести средства из приложения блокируются, а жертвам предлагают заплатить дополнительные сборы для «восстановления» первоначальных инвестиций. На самом же деле средства похищаются и направляются на счета преступников.
Кибермошенники также использует тактику сокрытия своих действий с помощью встроенной конфигурации, которая определяет URL-адрес, на котором размещена страница входа. Такой подход затрудняет обнаружение и анализ мошеннической активности.
В ходе анализа вредоносной кампании экспертам Group-IB удалось выявить мошеннические приложения FINANS INSIGHTS и FINANS TRADER6 на платформе Google Play. Эти Android-приложения были доступны для скачивания в странах Японии, Южной Кореи, Камбоджи, Таиланде и на Кипре, но теперь удалены. По статистике, они были загружены менее 5000 раз.
Специалисты советуют быть осторожными при переходе по неизвестным ссылкам, избегать общения с незнакомцами в соцсетях и на сайтах знакомств, а также тщательно проверять инвестиционные платформы и приложения перед их скачиванием, включая проверку рейтингов и отзывов пользователей.
