Una campaña de fraude a gran escala aprovechó aplicaciones comerciales falsas publicadas en Apple App Store y Google Play Store, así como sitios de phishing, para defraudar a las víctimas. resultados del Grupo-IB.
La campaña es parte de un esquema de fraude de inversiones al consumidor, también conocido como matanza de cerdos, en el que se engaña a las víctimas potenciales para que inviertan en criptomonedas u otros instrumentos financieros después de ganarse su confianza bajo la apariencia de una relación romántica o un asesor de inversiones.
Estas operaciones de manipulación e ingeniería social a menudo resultan en que las víctimas pierdan sus fondos y, en algunos casos, extraigan aún más dinero al exigir diversas tarifas y otros pagos.
La compañía con sede en Singapur dijo que la campaña tuvo un alcance global, con víctimas reportadas en Asia-Pacífico, Europa, Medio Oriente y África. Las aplicaciones falsas, creadas utilizando el marco UniApp, se han clasificado bajo el nombre UniShadowTrade.
Se cree que el grupo de actividades ha estado activo desde al menos mediados de 2023, atrayendo a las víctimas con aplicaciones maliciosas con la promesa de obtener ganancias financieras rápidas. Un aspecto notable de la amenaza es que una de las aplicaciones incluso logró eludir el proceso de revisión de la App Store de Apple, dándole una ilusión de legitimidad y confianza.
La aplicación en cuestión, OSE-INTYa no está disponible para descargar en el mercado de aplicaciones, pero se hace pasar por software para «fórmulas matemáticas algebraicas de uso común y cálculo de área de volumen de gráficos 3D».
Se cree que los ciberdelincuentes lo lograron mediante una verificación del código fuente de la aplicación que determinó si la fecha y hora actual es anterior al 22 de julio de 2024 a las 00:00:00 y, de ser así, lanzaron una pantalla falsa con fórmulas. y gráficos.
Pero una vez que la aplicación fue eliminada unas semanas después de su lanzamiento, los actores maliciosos detrás de la operación supuestamente recurrieron a distribuir la aplicación, para Android e iOS, a través de sitios web de phishing.
«Para los usuarios de iOS, al presionar el botón de descarga se activa la descarga de un archivo .plist, lo que hace que iOS solicite permiso para instalar la aplicación», dijo Andrey Polovinkin, investigador de Group-IB.
«Sin embargo, una vez completada la descarga, la aplicación no se puede iniciar inmediatamente. Los ciberdelincuentes piden a la víctima que confíe manualmente en el perfil de desarrollador empresarial. Una vez completado este paso, la aplicación fraudulenta se vuelve operativa».
Los usuarios que finalmente instalan la aplicación y la abren son recibidos con una página de inicio de sesión, en la que se les solicita que proporcionen su número de teléfono y contraseña. El proceso de registro implica ingresar un código de invitación en la aplicación, lo que sugiere que los atacantes se dirigen a personas específicas para llevar a cabo la estafa.
El registro exitoso desencadena un proceso de ataque de seis pasos en el que se pide a las víctimas que proporcionen documentos de identidad como prueba, información personal e información profesional actual, después de lo cual se les pide que acepten los términos y condiciones del servicio para poder realizar las inversiones.
Una vez realizado el depósito, los ciberdelincuentes envían instrucciones adicionales sobre en qué instrumentos financieros invertir y, a menudo, garantizan que producirán altos rendimientos, engañando así a los usuarios para que inviertan cada vez más dinero. Para mantener la artimaña, la aplicación está diseñada para mostrar sus inversiones como generadoras de ganancias.
Los problemas comienzan cuando la víctima intenta retirar los fondos, momento en el que se le pide que pague tarifas adicionales para recuperar su inversión principal y sus supuestas ganancias. En realidad, los fondos son robados y desviados a cuentas bajo el control de los atacantes.
Otra táctica innovadora adoptada por los autores de malware es utilizar una configuración integrada que incluye detalles sobre la URL que aloja la página de inicio de sesión y otros aspectos de la supuesta aplicación comercial lanzada dentro de la aplicación.
Esta información de configuración está alojada en una URL asociada con un servicio legítimo llamado CondicionesFlujo que ofrece software de cumplimiento para generar políticas de privacidad, términos y condiciones y pancartas de consentimiento de cookies.
«La primera aplicación descubierta, distribuida a través de la App Store de Apple, funciona como un descargador, simplemente recupera y muestra la URL de una aplicación web», dijo Polovinkin. «Por el contrario, la segunda aplicación, descargada de sitios web de phishing, ya contiene la aplicación web entre sus activos».
Según Group-IB, este es un enfoque deliberado adoptado por los actores de amenazas para minimizar las posibilidades de detección y evitar generar señales de alerta cuando la aplicación se distribuye a través de la App Store.
Además, la compañía de ciberseguridad dijo que también descubrió una de las aplicaciones fraudulentas de inversión en acciones falsas en Google Play Store llamada RESUMEN FINANCIERO (com.finans.insights). Otra aplicación relacionada con el mismo desarrollador, Ueaida Wabi, es COMERCIANTE FINANCIERO6 (com.finans.trader)
Aunque ambas aplicaciones de Android no están actualmente activas en Play Store, las estadísticas de Sensor Tower muestran que se han descargado menos de 5.000 veces. Japón, Corea del Sur y Camboya fueron los tres principales países atendidos por FINANS INSIGHTS, mientras que Tailandia, Japón y Chipre fueron las principales regiones donde FINANS TRADER6 estaba disponible.
Se recomienda a los usuarios que tengan cuidado al abrir enlaces, que no respondan a mensajes no solicitados de extraños en las redes sociales y aplicaciones de citas, que revisen las plataformas de inversión para verificar si son legítimas y que revisen cuidadosamente las aplicaciones y sus editores, las calificaciones y reseñas de los usuarios antes de descargarlas. .
«Los ciberdelincuentes continúan utilizando plataformas confiables como Apple Store o Google Play para distribuir malware disfrazado de aplicaciones legítimas, explotando la confianza de los usuarios en ecosistemas seguros», dijo Polovinkin.
«Las víctimas se sienten atraídas por la promesa de ganancias financieras fáciles, sólo para descubrir que no pueden retirar fondos después de realizar grandes inversiones. El uso de aplicaciones web oculta aún más la actividad maliciosa y dificulta la detección».
