Una campaña de fraude a gran escala utilizó aplicaciones de comercio falsas publicadas en Apple App Store y Google Play Store, así como sitios de phishing, para defraudar a las víctimas, según los hallazgos de Group-IB.
La campaña es parte de un esquema de fraude de inversión al consumidor que también se conoce ampliamente como matanza de cerdos , en el que las posibles víctimas son engañadas para que realicen inversiones en criptomonedas u otros instrumentos financieros después de ganarse su confianza bajo la apariencia de una relación romántica o un asesor de inversiones.
Estas operaciones de manipulación e ingeniería social a menudo terminan con las víctimas perdiendo sus fondos y, en algunos casos, extrayéndoles incluso más dinero solicitándoles diversas tarifas y otros pagos.
La empresa, con sede en Singapur, afirmó que la campaña tiene un alcance global y que se han registrado víctimas en Asia-Pacífico, Europa, Oriente Medio y África. Las aplicaciones falsas, creadas con el marco UniApp, se han clasificado bajo el nombre de UniShadowTrade .
Se dice que el grupo de actividades ha estado activo desde al menos mediados de 2023, atrayendo a las víctimas con aplicaciones maliciosas con la promesa de una ganancia económica rápida. Un aspecto destacable de la amenaza es que una de las aplicaciones logró incluso superar el proceso de revisión de la App Store de Apple, lo que le otorga una ilusión de legitimidad y confianza.
La aplicación en cuestión, SBI-INT , ya no está disponible para su descarga desde la tienda de aplicaciones, pero se hacía pasar por un software para «fórmulas matemáticas algebraicas de uso común y cálculo de área de volumen de gráficos 3D».
Se cree que los ciberdelincuentes lograron esto mediante una verificación que incluía el código fuente de la aplicación que determinaba si la fecha y hora actual era anterior al 22 de julio de 2024, 00:00:00, y de ser así, lanzaba una pantalla falsa con fórmulas y gráficos.
Pero una vez que fue eliminada semanas después de su publicación, se dice que los actores de amenazas detrás de la operación pasaron a distribuir la aplicación, tanto para Android como para iOS, a través de sitios web de phishing.
«Para los usuarios de iOS, al presionar el botón de descarga se activa la descarga de un archivo .plist, lo que hace que iOS solicite permiso para instalar la aplicación», dijo el investigador del Grupo IB Andrey Polovinkin.
«Sin embargo, una vez finalizada la descarga, la aplicación no se puede iniciar inmediatamente. Los cibercriminales le piden a la víctima que confíe manualmente en el perfil de desarrollador de Enterprise. Una vez completado este paso, la aplicación fraudulenta se vuelve operativa».
Los usuarios que instalan la aplicación y la abren se encuentran con una página de inicio de sesión que les solicita que proporcionen su número de teléfono y contraseña. El proceso de registro implica ingresar un código de invitación en la aplicación, lo que sugiere que los atacantes están apuntando a individuos específicos para llevar a cabo la estafa.
Un registro exitoso desencadena un proceso de ataque de seis pasos en el que se insta a las víctimas a proporcionar documentos de identidad como prueba, información personal y detalles laborales actuales, después de lo cual se les pide que acepten los términos y condiciones del servicio para realizar las inversiones.
Una vez realizado el depósito, los cibercriminales envían instrucciones adicionales sobre en qué instrumento financiero invertir y, a menudo, garantizan que obtendrán altos rendimientos, engañando así a los usuarios para que inviertan cada vez más dinero. Para mantener la artimaña, la aplicación está manipulada para que muestre sus inversiones como si estuvieran generando ganancias.
El problema comienza cuando la víctima intenta retirar los fondos, momento en el que se le pide que pague comisiones adicionales para recuperar sus inversiones principales y las supuestas ganancias. En realidad, los fondos son robados y desviados a cuentas bajo el control de los atacantes.
Otra táctica novedosa adoptada por los autores de malware es el uso de una configuración integrada que incluye detalles sobre la URL que aloja la página de inicio de sesión y otros aspectos de la supuesta aplicación comercial lanzada dentro de la aplicación.
Esta información de configuración está alojada en una URL asociada a un servicio legítimo llamado TermsFeed que ofrece software de cumplimiento para generar políticas de privacidad, términos y condiciones y banners de consentimiento de cookies.
«La primera aplicación descubierta, distribuida a través de la App Store de Apple, funciona como un programa de descarga, que simplemente recupera y muestra la URL de una aplicación web», dijo Polovinkin. «En cambio, la segunda aplicación, descargada de sitios web de phishing, ya contiene la aplicación web entre sus activos».
Según Group-IB, esto es un enfoque deliberado adoptado por los actores de amenazas para minimizar las posibilidades de detección y evitar generar señales de alerta cuando la aplicación se distribuye a través de la App Store.
Además, la empresa de ciberseguridad afirmó que también descubrió una de las aplicaciones de inversión en acciones falsas en Google Play Store que se llamaba FINANS INSIGHTS (com.finans.insights). Otra aplicación vinculada al mismo desarrollador, Ueaida Wabi, es FINANS TRADER6 (com.finans.trader).
Si bien ambas aplicaciones de Android no están activas actualmente en Play Store, las estadísticas de Sensor Tower muestran que se descargaron menos de 5000 veces. Japón, Corea del Sur y Camboya fueron los tres principales países a los que FINANS INSIGHTS atendió, mientras que Tailandia, Japón y Chipre fueron las principales regiones en las que FINANS TRADER6 estuvo disponible.
Se recomienda a los usuarios tener cuidado al abrir enlaces, no responder a mensajes no solicitados de extraños en las redes sociales y aplicaciones de citas, revisar las plataformas de inversión para verificar si son legítimas y examinar cuidadosamente las aplicaciones y sus editores, calificaciones y comentarios de los usuarios antes de descargarlas.
«Los cibercriminales continúan utilizando plataformas confiables como Apple Store o Google Play para distribuir malware disfrazado de aplicaciones legítimas, explotando la confianza de los usuarios en ecosistemas seguros», afirmó Polovinkin.
«Las víctimas son atraídas con la promesa de obtener ganancias económicas con facilidad, pero luego descubren que no pueden retirar sus fondos después de haber realizado inversiones importantes. El uso de aplicaciones web oculta aún más la actividad maliciosa y dificulta su detección».
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.