ユニシャドウトレード

広範囲にわたる詐欺行為では、Apple App Store や Google Play Store の偽造取引プログラムやフィッシング サイトを利用して被害者を騙しています。この手口は、恋愛関係のパートナーや投資アドバイザーなど、見せかけで信頼関係を築いた後、潜在的なターゲットを暗号通貨やその他の金融商品への投資に誘い込む、より広範な消費者投資詐欺の手口の一部です。

こうした欺瞞的で操作的な戦術により、被害者は投資を失うことが多く、場合によっては追加の料金や費用を支払うよう圧力をかけられることもあります。サイバーセキュリティの専門家によると、この詐欺キャンペーンは複数の地域に広がっており、被害者はアジア太平洋、ヨーロッパ、中東、アフリカで報告されています。UniApp Framework を使用して開発された詐欺アプリケーションは、総称して UniShadowTrade と呼ばれています。

この作戦はかなり前から行われている

この活動集団は少なくとも2023年半ばから活動していたと報告されており、急速な金銭的利益を約束する危険なアプリで被害者を誘惑している。重大な懸念は、これらのアプリの1つがAppleのApp Storeの審査プロセスを回避し、偽りの正当性と信頼性を生み出したことだ。SBI-INTと名付けられたこのアプリはその後マーケットプレイスから削除されたが、当初は「一般的に使用される代数の数式と3Dグラフィックスの体積面積計算」用のソフトウェアとして宣伝されていた。

サイバー犯罪者は、アプリケーションのソースコード内に現在の日時が 2024 年 7 月 22 日 00:00:00 より前であるかどうかを確認するチェックを実装することで、これを達成したと考えられています。そうである場合、アプリは数式とグラフィックでいっぱいの欺瞞的な画面を表示します。リリースから数週間後にアプリが削除された後、脅威アクターは Android と iOS の両方のプラットフォーム向けのフィッシング Web サイトを通じてアプリを配布することに重点を移したと報告されています。

有害なアプリケーションの動作方法

iOS ユーザーの場合、ダウンロード ボタンをクリックすると .plist ファイルのダウンロードが開始され、アプリケーションのインストール許可を求めるメッセージが表示されます。ただし、ダウンロードが完了した後、アプリケーションをすぐに起動することはできません。次に、サイバー犯罪者は被害者にエンタープライズ開発者プロファイルを手動で信頼するように指示します。この手順が完了すると、不正なアプリケーションがアクティブ化されます。

アプリケーションをインストールして開くと、電話番号とパスワードを要求するログイン ページが表示されます。登録プロセスには招待コードの入力が含まれており、攻撃者が特定のターゲットに焦点を絞って戦術を実行していることがわかります。

登録に成功すると、被害者は 6 段階の攻撃シーケンスに入ります。確認のために身分証明書、個人情報、現在の雇用情報を提出するよう圧力をかけられます。その後、投資を進めるためにサービスの利用規約に同意するよう求められます。

入金後、サイバー犯罪者はどの金融商品に投資すべきかについて追加の指示を与え、多くの場合、高い潜在的利益を主張します。詐欺を永続させるために、アプリケーションは、被害者の投資が利益を生み出しているかのように表示されるように操作されます。

この戦術に騙されたときの深刻な結果

問題は、被害者が資金を引き出そうとしたときに発生します。その時点で、初期投資と想定される利益を取り戻すために追加料金を支払うよう求められます。実際には、資金は集められ、攻撃者が管理するアカウントにリダイレクトされています。

マルウェア作成者が採用したもう 1 つの革新的な戦術は、ログイン ページをホストする URL と偽の取引アプリケーションのその他の詳細をアプリケーション内に指定する構成を埋め込むことです。この構成は、プライバシー ポリシー、利用規約、Cookie 同意バナーを生成するコンプライアンス ソフトウェアを提供する、TermsFeed と呼ばれる正当なサービスにリンクされた URL でホストされます。

最初に特定されたアプリケーションは、Apple App Store を通じて配布され、Web アプリの URL を取得して表示するだけのダウンローダーとして機能します。一方、フィッシング Web サイトから取得された 2 番目のアプリケーションには、その資産内に Web アプリが既に含まれています。

研究者らは、この方法は脅威の攻撃者による戦略的な選択であり、アプリが App Store 経由で配布される際に検出される可能性を減らし、警告がトリガーされないように設計されていると指摘しています。

Androidユーザーも危険にさらされていた

サイバーセキュリティの専門家は、Google Play ストアで FINANS INSIGHTS (com.finans.insights) という不正な株式投資アプリケーションも特定しました。同じ開発者である Ueaida Wabi が開発した別のアプリケーションは、FINANS TRADER6 (com.finans.trader) です。

どちらの Android アプリケーションも現在 Play ストアでは非アクティブですが、ダウンロード数は 5,000 回未満です。FINANS INSIGHTS は主に日本、韓国、カンボジアのユーザーを対象としており、FINANS TRADER6 は主にタイ、日本、キプロスで利用可能でした。

予期しないメッセージには疑念を抱く

ユーザーは、リンクをクリックする際には注意し、ソーシャルメディアや出会い系プラットフォーム上で見知らぬ人からの迷惑メッセージには返信しないようにすることが推奨されています。投資プラットフォームの正当性を確認し、アプリの発行元、評価、ユーザーレビューなどを慎重に検討してからダウンロードすることが重要です。

サイバー犯罪者は、Apple App Store や Google Play などの信頼できるプラットフォームを悪用し、これらの安全な環境に対するユーザーの信頼を利用して、正規のアプリケーションを装ったマルウェアを拡散し続けています。被害者は、すぐに金銭を得られるという約束に惹かれますが、多額の投資をした後で資金を引き出せないことに気付きます。Web ベースのアプリケーションを使用すると、危険な活動がさらにわかりにくくなり、検出がさらに困難になります。