UniShadowTrade
Une vaste opération de fraude a utilisé des programmes de trading contrefaits sur l'App Store d'Apple et le Google Play Store, ainsi que des sites Web de phishing, pour tromper les victimes. Cette escroquerie fait partie d'une tactique plus large de fraude à l'investissement des consommateurs, où les cibles potentielles sont incitées à investir dans des cryptomonnaies ou d'autres produits financiers après avoir établi la confiance par le biais d'un faux-semblant, soit en tant que partenaire romantique, soit en tant que conseiller en investissement.
Ces tactiques trompeuses et manipulatrices entraînent souvent la perte des investissements des victimes et, dans certains cas, elles peuvent être contraintes de payer des frais ou des coûts supplémentaires. Les experts en cybersécurité indiquent que cette campagne frauduleuse s'étend à plusieurs régions, avec des victimes signalées en Asie-Pacifique, en Europe, au Moyen-Orient et en Afrique. Les applications frauduleuses, développées à l'aide du framework UniApp, sont collectivement appelées UniShadowTrade.
Table des matières
L'opération est active depuis un certain temps
Le groupe d'activités serait opérationnel depuis au moins la mi-2023, attirant les victimes avec des applications dangereuses promettant des retours financiers rapides. Une préoccupation majeure est que l'une de ces applications a réussi à contourner le processus d'examen de l'App Store d'Apple, créant un faux sentiment de légitimité et de confiance. L'application, nommée SBI-INT, a depuis été retirée du marché, mais se présentait initialement comme un logiciel pour « des formules mathématiques algébriques couramment utilisées et le calcul de surfaces de volumes graphiques 3D ».
Les cybercriminels auraient réussi à le faire en implémentant une vérification dans le code source de l'application pour déterminer si la date et l'heure actuelles étaient antérieures au 22 juillet 2024, 00:00:00. Si tel était le cas, l'application afficherait un écran trompeur rempli de formules et de graphiques. Après le retrait de l'application quelques semaines après son lancement, les acteurs de la menace auraient déplacé leur attention vers la distribution de l'application via des sites Web de phishing pour les plateformes Android et iOS.
Comment fonctionnent ces applications nuisibles
Pour les utilisateurs iOS, cliquer sur le bouton de téléchargement lance le téléchargement d'un fichier .plist, qui invite le système à demander l'autorisation d'installer l'application. Cependant, une fois le téléchargement terminé, l'application ne peut pas être immédiatement lancée. Les cybercriminels demandent alors à la victime de faire confiance manuellement au profil de développeur Enterprise. Une fois cette étape terminée, l'application frauduleuse peut être activée.
Les utilisateurs qui installent et ouvrent l'application sont accueillis par une page de connexion qui leur demande leur numéro de téléphone et leur mot de passe. Le processus d'inscription comprend la saisie d'un code d'invitation, indiquant que les attaquants se concentrent sur des cibles spécifiques pour exécuter leur tactique.
Une fois l'inscription réussie, les victimes entrent dans une séquence d'attaque en six étapes. Elles sont contraintes de fournir des documents d'identité à des fins de vérification, des informations personnelles et des informations sur leur emploi actuel. On leur demande ensuite d'accepter les conditions générales du service pour procéder à leurs investissements.
Après avoir effectué un dépôt, les cybercriminels fournissent des instructions supplémentaires sur les instruments financiers dans lesquels investir, en prétendant souvent que les bénéfices potentiels sont élevés. Pour perpétuer la tromperie, l'application est manipulée pour présenter les investissements des victimes comme s'ils généraient des bénéfices.
Les graves conséquences d'une telle tactique
Les problèmes surviennent lorsque la victime tente de retirer ses fonds, et se voit alors obligée de payer des frais supplémentaires pour récupérer ses investissements initiaux et ses prétendus bénéfices. En réalité, les fonds ont été collectés et redirigés vers des comptes contrôlés par les attaquants.
Une autre tactique innovante employée par les créateurs de malwares consiste à intégrer une configuration qui spécifie l'URL hébergeant la page de connexion et d'autres détails de la fausse application de trading au sein de l'application. Cette configuration est hébergée sur une URL liée à un service légitime appelé TermsFeed, qui fournit un logiciel de conformité pour générer des politiques de confidentialité, des conditions générales et des bannières de consentement aux cookies.
La première application identifiée, distribuée via l'App Store d'Apple, fonctionne comme un téléchargeur qui se contente de récupérer et d'afficher l'URL d'une application Web. En revanche, la deuxième application, obtenue à partir de sites Web de phishing, contient déjà l'application Web dans ses ressources.
Les chercheurs notent que cette méthode est un choix stratégique des acteurs de la menace, conçu pour réduire la probabilité de détection et éviter de déclencher des alarmes lorsque l'application est distribuée via l'App Store.
Les utilisateurs d'Android sont également en danger
Les experts en cybersécurité ont également identifié une application d'investissement boursier frauduleuse sur le Google Play Store appelée FINANS INSIGHTS (com.finans.insights). Une autre application associée au même développeur, Ueaida Wabi, est FINANS TRADER6 (com.finans.trader).
Bien que les deux applications Android soient actuellement inactives sur le Play Store, elles ont été téléchargées moins de 5 000 fois. FINANS INSIGHTS ciblait principalement les utilisateurs du Japon, de Corée du Sud et du Cambodge, tandis que FINANS TRADER6 était principalement disponible en Thaïlande, au Japon et à Chypre.
Soyez sceptique face aux messages inattendus
Les utilisateurs sont invités à faire preuve de prudence lorsqu'ils cliquent sur des liens et à éviter de répondre aux messages non sollicités provenant d'individus inconnus sur les réseaux sociaux et les plateformes de rencontres. Il est essentiel de vérifier la légitimité des plateformes d'investissement et d'examiner attentivement les applications, y compris leurs éditeurs, leurs notes et les avis des utilisateurs, avant de les télécharger.
Les cybercriminels continuent d'exploiter des plateformes fiables comme l'App Store d'Apple et Google Play pour diffuser des programmes malveillants déguisés en applications légitimes, exploitant la confiance des utilisateurs dans ces environnements sécurisés. Les victimes sont attirées par des promesses de gains financiers rapides, pour finalement découvrir qu'elles ne peuvent pas retirer leurs fonds après avoir effectué des investissements substantiels. L'utilisation d'applications Web rend l'activité dangereuse encore plus difficile à détecter.
