Comercio UniShadow
Una operación de fraude generalizada ha utilizado programas de comercio falsificados en la App Store de Apple y la Play Store de Google, junto con sitios web de phishing, para engañar a las víctimas. Este esquema es parte de una táctica más amplia de fraude de inversión de consumidores, en la que se atrae a las víctimas potenciales para que inviertan en criptomonedas u otros productos financieros después de generar confianza a través de engaños, ya sea como pareja romántica o asesor de inversiones.
Estas tácticas engañosas y manipuladoras suelen hacer que las víctimas pierdan sus inversiones y, en algunos casos, pueden verse presionadas a pagar tarifas o costes adicionales. Los expertos en ciberseguridad indican que esta campaña fraudulenta se extiende por varias regiones, con víctimas reportadas en Asia-Pacífico, Europa, Oriente Medio y África. Las aplicaciones fraudulentas, desarrolladas utilizando el marco UniApp, se conocen colectivamente como UniShadowTrade.
Tabla de contenido
La operación ha estado activa durante bastante tiempo
Se informa que el grupo de actividades ha estado operativo desde al menos mediados de 2023, atrayendo a las víctimas con aplicaciones inseguras que prometen retornos financieros rápidos. Una preocupación importante es que una de estas aplicaciones logró eludir el proceso de revisión de la App Store de Apple, creando una falsa sensación de legitimidad y confianza. La aplicación, llamada SBI-INT, ha sido eliminada del mercado desde entonces, pero inicialmente se hacía pasar por un software para "fórmulas matemáticas algebraicas de uso común y cálculo de área de volumen de gráficos 3D".
Se cree que los cibercriminales lograron esto implementando una verificación dentro del código fuente de la aplicación para determinar si la fecha y hora actuales eran anteriores al 22 de julio de 2024, 00:00:00. De ser así, la aplicación mostraría una pantalla engañosa llena de fórmulas y gráficos. Después de que la aplicación fuera eliminada unas semanas después del lanzamiento, los actores de amenazas cambiaron su enfoque a la distribución de la aplicación a través de sitios web de phishing para plataformas Android e iOS.
Cómo funcionan estas aplicaciones dañinas
Para los usuarios de iOS, al hacer clic en el botón de descarga se inicia la descarga de un archivo .plist, que solicita al sistema que solicite permiso para instalar la aplicación. Sin embargo, una vez finalizada la descarga, la aplicación no se puede iniciar de inmediato. Los cibercriminales le indican a la víctima que confíe en el perfil de desarrollador de Enterprise manualmente. Una vez completado este paso, se puede activar la aplicación fraudulenta.
Los usuarios que proceden a instalar y abrir la aplicación se encuentran con una página de inicio de sesión que les solicita su número de teléfono y contraseña. El proceso de registro incluye la introducción de un código de invitación, lo que indica que los atacantes se están centrando en objetivos específicos para ejecutar su táctica.
Una vez que se registran, las víctimas ingresan a una secuencia de ataque de seis pasos. Se les presiona para que proporcionen documentos de identidad como verificación, datos personales e información laboral actual. Luego se les pide que acepten los términos y condiciones del servicio para continuar con sus inversiones.
Después de realizar un depósito, los cibercriminales brindan instrucciones adicionales sobre los instrumentos financieros en los que invertir, a menudo afirmando que se obtendrán grandes ganancias potenciales. Para perpetuar el engaño, la aplicación es manipulada para mostrar las inversiones de las víctimas como si estuvieran generando ganancias.
Graves consecuencias de caer en la táctica
Los problemas surgen cuando la víctima intenta retirar sus fondos, momento en el que se le solicita que pague comisiones adicionales para recuperar su inversión inicial y supuestas ganancias. En realidad, los fondos han sido recolectados y redirigidos a cuentas controladas por los atacantes.
Otra táctica innovadora empleada por los creadores de malware consiste en incorporar una configuración que especifica la URL que aloja la página de inicio de sesión y otros detalles de la aplicación de comercio falsa dentro de la aplicación. Esta configuración se aloja en una URL vinculada a un servicio legítimo llamado TermsFeed, que proporciona software de cumplimiento para generar políticas de privacidad, términos y condiciones y banners de consentimiento de cookies.
La primera aplicación identificada, distribuida a través de la App Store de Apple, funciona como un programa de descarga que simplemente recupera y muestra la URL de una aplicación web. En cambio, la segunda aplicación, obtenida a través de sitios web de phishing, ya contiene la aplicación web entre sus activos.
Los investigadores señalan que este método es una elección estratégica de los actores de amenazas, diseñada para reducir la probabilidad de detección y evitar que se activen alarmas cuando la aplicación se distribuye a través de la App Store.
Los usuarios de Android también estaban en riesgo
Los expertos en ciberseguridad también identificaron una aplicación fraudulenta de inversión en bolsa en Google Play Store llamada FINANS INSIGHTS (com.finans.insights). Otra aplicación asociada al mismo desarrollador, Ueaida Wabi, es FINANS TRADER6 (com.finans.trader).
Aunque ambas aplicaciones para Android están actualmente inactivas en Play Store, se descargaron menos de 5000 veces. FINANS INSIGHTS estaba dirigida principalmente a usuarios de Japón, Corea del Sur y Camboya, mientras que FINANS TRADER6 estaba disponible principalmente en Tailandia, Japón y Chipre.
Sea escéptico ante los mensajes inesperados
Se recomienda a los usuarios que tengan cuidado al hacer clic en enlaces y que eviten responder a mensajes no solicitados de personas desconocidas en las redes sociales y plataformas de citas. Es fundamental verificar la legitimidad de las plataformas de inversión y examinar cuidadosamente las aplicaciones, incluidos sus editores, calificaciones y reseñas de usuarios, antes de descargarlas.
Los cibercriminales siguen explotando plataformas de confianza como la App Store de Apple y Google Play para difundir malware camuflado en aplicaciones legítimas, aprovechándose de la confianza de los usuarios en estos entornos seguros. Las víctimas se sienten atraídas por promesas de ganancias financieras rápidas, pero luego descubren que no pueden retirar sus fondos después de haber hecho inversiones sustanciales. El uso de aplicaciones basadas en la Web oculta aún más la actividad insegura, lo que dificulta aún más su detección.
