Group-IB’nin bulgularına göre, büyük ölçekli bir dolandırıcılık kampanyası, kurbanları dolandırmak için Apple App Store ve Google Play Store’da yayınlanan sahte ticaret uygulamalarının yanı sıra kimlik avı sitelerinden de yararlandı.
Kampanya, yaygın olarak domuz katliamı olarak da bilinen, potansiyel kurbanların romantik bir ilişki veya yatırım danışmanı kisvesi altında güvenlerini kazandıktan sonra kripto para birimine veya diğer finansal araçlara yatırım yapmaya ikna edildiği tüketici yatırım dolandırıcılığı planının bir parçası.
Bu tür manipülatif ve sosyal mühendislik operasyonları genellikle mağdurların fonlarını kaybetmesiyle ve bazı durumlarda çeşitli ücretler ve diğer ödemeler talep ederek onlardan daha fazla para koparmasıyla sonuçlanıyor.
Singapur merkezli şirket, kampanyanın küresel bir erişime sahip olduğunu ve mağdurların Asya-Pasifik, Avrupa, Orta Doğu ve Afrika’da rapor edildiğini söyledi. UniApp Framework kullanılarak oluşturulan sahte uygulamalar şu adla sınıflandırıldı: UniShadowTrade.
Faaliyet kümesinin en azından 2023 ortasından bu yana aktif olduğu ve hızlı finansal kazanç vaadiyle kurbanları kötü amaçlı uygulamalarla cezbettiği söyleniyor. Tehdidin dikkate değer bir yönü, uygulamalardan birinin Apple’ın App Store inceleme sürecini bile geçmeyi başarması ve böylece ona meşruiyet ve güven yanılsaması vermesidir.
Söz konusu uygulama, SBI-INT, artık uygulama pazarından indirilemiyor ancak “yaygın olarak kullanılan cebirsel matematik formülleri ve 3 boyutlu grafik hacim alanı hesaplaması” için yazılım kılığına girdi.
Siber suçluların bunu, mevcut tarih ve saatin 22 Temmuz 2024 00:00:00’dan önce olup olmadığını kontrol eden, uygulamanın kaynak kodunu içeren bir kontrol aracılığıyla gerçekleştirdiği ve eğer öyleyse formüller içeren sahte bir ekran başlattığı düşünülüyor. ve grafikler.
Ancak yayınlandıktan haftalar sonra kaldırıldıktan sonra, operasyonun arkasındaki tehdit aktörlerinin uygulamayı kimlik avı web siteleri aracılığıyla hem Android hem de iOS için dağıtmaya yöneldiği söyleniyor.
Group-IB araştırmacısı Andrey Polovinkin, “iOS kullanıcıları için indirme düğmesine basmak, bir .plist dosyasının indirilmesini tetikleyerek iOS’un uygulamayı yüklemek için izin istemesine neden olur” dedi.
“Ancak indirme işlemi tamamlandıktan sonra uygulama hemen başlatılamıyor. Daha sonra siber suçlular, kurbana Kurumsal geliştirici profiline manuel olarak güvenmesi talimatını veriyor. Bu adım tamamlandığında sahte uygulama çalışır hale geliyor.”
Uygulamayı yükleyip açan kullanıcılar, kullanıcıların telefon numaralarını ve şifrelerini girmelerini gerektiren bir giriş sayfasıyla karşılanır. Kayıt süreci, uygulamaya bir davet kodunun girilmesini içeriyor; bu, saldırganların dolandırıcılık yapmak için belirli kişileri hedeflediklerini gösteriyor.
Başarılı bir kayıt, mağdurlardan kanıt olarak kimlik belgelerini, kişisel bilgilerini ve mevcut iş ayrıntılarını sunmalarının istendiği ve ardından yatırımları yapabilmek için hizmetin hüküm ve koşullarını kabul etmelerinin istendiği altı adımlı bir saldırı sürecini tetikliyor.
Para yatırıldıktan sonra siber suçlular, hangi finansal araca yatırım yapılacağına dair daha fazla talimat gönderiyor ve genellikle bunların yüksek getiri sağlayacağını garanti ederek kullanıcıları daha fazla para yatırmaya yönlendiriyor. Hileye devam etmek için uygulama, yatırımlarını kazanç elde ediyormuş gibi gösterecek şekilde donatıldı.
Mağdurun parayı geri çekmeye çalıştığı anda sorun başlıyor ve bu noktada ana yatırımlarını ve sözde kazançlarını geri almak için ek ücret ödemesi isteniyor. Gerçekte ise fonlar çalınıyor ve saldırganların kontrolü altındaki hesaplara aktarılıyor.
Kötü amaçlı yazılım yazarları tarafından benimsenen bir diğer yeni taktik, giriş sayfasını barındıran URL ve uygulama içinde başlatıldığı iddia edilen ticari uygulamanın diğer yönleriyle ilgili ayrıntıları içeren yerleşik bir yapılandırmanın kullanılmasıdır.
Bu yapılandırma bilgisi, gizlilik politikaları, hükümler ve koşullar ile çerez onay bannerları oluşturmaya yönelik uyumluluk yazılımı sunan, TerimlerFeed adı verilen meşru bir hizmetle ilişkili bir URL’de barındırılır.
Polovinkin, “Apple App Store aracılığıyla dağıtılan ilk keşfedilen uygulama, yalnızca bir web uygulaması URL’sini alıp görüntüleyen bir indirici işlevi görüyor” dedi. “Buna karşılık, kimlik avı web sitelerinden indirilen ikinci uygulama, web uygulamasını zaten varlıkları arasında içeriyor.”
Group-IB’ye göre bu, uygulama App Store aracılığıyla dağıtıldığında tespit edilme olasılığını en aza indirmek ve tehlike işaretlerinin ortaya çıkmasını önlemek için tehdit aktörleri tarafından kasıtlı bir yaklaşımdır.
Ayrıca siber güvenlik firması, Google Play Store’da FINANS INSIGHTS (com.finans.insights) adıyla anılan sahte hisse senedi yatırım dolandırıcılığı uygulamalarından birini de keşfettiğini söyledi. Aynı geliştirici Ueaida Wabi’ye bağlı başka bir uygulama da FINANS TRADER6’dır (com.finans.trader)
Her iki Android uygulaması da Play Store’da mevcut olmasa da, Sensor Tower’ın istatistikleri bunların 5.000’den az indirildiğini gösteriyor. FINANS INSIGHTS’ın hizmet verdiği ilk üç ülke Japonya, Güney Kore ve Kamboçya olurken, FINANS TRADER6’nın hizmet verdiği başlıca bölgeler Tayland, Japonya ve Kıbrıs oldu.
Polovinkin, “Siber suçlular, meşru uygulamalar gibi görünen kötü amaçlı yazılımları dağıtmak ve kullanıcıların güvenli ekosistemlere olan güvenini suiistimal etmek için Apple Store veya Google Play gibi güvenilir platformları kullanmaya devam ediyor.” dedi.
“Kurbanlar, kolay finansal kazanç vaadiyle kandırılıyor, ancak önemli yatırımlar yaptıktan sonra paralarını çekemediklerini görüyorlar. Web tabanlı uygulamaların kullanılması, kötü niyetli faaliyetleri daha da gizleyerek tespit edilmesini zorlaştırıyor.”