Những ứng dụng giao dịch giả mạo, ban đầu xuất hiện trên cả hai kho ứng dụng của Google và Apple, và sau đó lan rộng trên các trang web lừa đảo, đang được sử dụng trong một chiến dịch lừa đảo quy mô lớn nhằm đánh cắp tiền từ các nạn nhân.
Các ứng dụng này, được công ty an ninh mạng Group-IB gọi chung là UniShadowTrade, dụ dỗ người dùng sử dụng thiết bị iOS và Android để nạp tiền vào các tài khoản giao dịch giả. Khi đã có đủ tiền trong tài khoản, những kẻ lừa đảo sẽ đánh cắp toàn bộ.
Hình thức này là điển hình của các vụ lừa đảo “giết mổ lợn”, nhưng nó cho thấy những kẻ xấu đang không ngừng phát triển kỹ thuật của mình. Andrey Polovinkin, trưởng nhóm nghiên cứu đảo ngược của Group-IB, đã viết trong một báo cáo rằng, khác với các trojan di động thông thường chứa mã độc để thực hiện hành vi lừa đảo, các ứng dụng gian lận này lại không chứa mã độc. Đây là một động thái nhằm giúp chúng vượt qua các biện pháp bảo vệ an ninh. Thay vào đó, những kẻ xấu đã tạo ra một nền tảng giao dịch hợp pháp để lừa đảo các nạn nhân.
Polovinkin viết: “Tội phạm mạng tiếp tục sử dụng các nền tảng đáng tin cậy như Apple Store hoặc Google Play để phát tán phần mềm độc hại dưới dạng các ứng dụng hợp pháp, khai thác sự tin tưởng của người dùng vào các hệ sinh thái an toàn. Việc sử dụng các ứng dụng dựa trên web càng che giấu các hoạt động độc hại và gây khó khăn hơn cho việc phát hiện”.
Các vụ lừa đảo “giết mổ lợn” bao gồm việc những kẻ xấu dành hàng tuần hoặc hàng tháng để chiếm được lòng tin của nạn nhân thông qua liên lạc trực tuyến, ban đầu bắt đầu trên mạng xã hội, ứng dụng hẹn hò hoặc các kênh tương tự. Chúng thường tự mô tả mình là cố vấn đầu tư hoặc giao dịch, cuối cùng thuyết phục mục tiêu đầu tư tiền vào một số loại hình đầu tư. Vụ lừa đảo thường kết thúc với việc nạn nhân mất tiền đầu tư và đôi khi bị gây áp lực phải trả thêm phí hoặc thuế.
Cái tên “giết mổ lợn” xuất phát từ việc vỗ béo một con lợn trước khi giết thịt nó.
Trong trường hợp này, các ứng dụng được xây dựng trên nền tảng UniApp, cho phép các nhà phát triển tạo và chạy các ứng dụng có thể chạy trên Android, iOS hoặc trình duyệt web với một cơ sở mã duy nhất. Polovinkin cho biết có rất ít sự khác biệt giữa các phiên bản iOS và Android của ứng dụng giao dịch vì chức năng cốt lõi của nó dựa trên web và được phân phối thông qua trình duyệt. Các ứng dụng có sẵn trong App Store của Apple và Google Play Store.
Ông viết: “Ứng dụng không bao gồm chức năng của trojan di động cổ điển; chức năng chính của nó là mở một hoạt động Web View”.
Từ Cửa Hàng Ứng Dụng Đến Web
Các ứng dụng gian lận, lần đầu tiên được phát hiện vào tháng 5, ban đầu có sẵn thông qua các cửa hàng ứng dụng. Sau khi chúng bị xóa, những kẻ lừa đảo đã chuyển sang phân phối ứng dụng thông qua các trang web lừa đảo cung cấp tải xuống cho cả Android và iOS. Phiên bản iOS có tên là SBI-INT, trong khi phiên bản dành cho thiết bị Android có tên là Finans Insights và Finans Trader6.
Những ứng dụng được phát triển cho Android đã được tải xuống hàng ngàn lần.
Polovinkin viết: “Ứng dụng đầu tiên được phát hiện, được phân phối thông qua Apple App Store, hoạt động như một trình tải xuống, chỉ đơn thuần là truy xuất và hiển thị URL của ứng dụng web. Ngược lại, ứng dụng thứ hai, được tải xuống từ các trang web lừa đảo, đã chứa ứng dụng web trong tài sản của nó”.
Một Vụ Lừa Đảo Đa Bước
Vụ lừa đảo kỹ thuật xã hội này liên quan đến một loạt các bước mà nạn nhân phải thực hiện. Người dùng iOS nhấn vào nút tải xuống sẽ thấy lời nhắc yêu cầu quyền cài đặt ứng dụng, nhưng sau khi quá trình tải xuống hoàn tất, nạn nhân được yêu cầu tin tưởng thủ công vào hồ sơ nhà phát triển. Ứng dụng sẽ hoạt động sau khi hoàn tất.
Ứng dụng này được mô tả là được thiết kế cho các công thức toán học đại số và tính toán diện tích thể tích đồ họa 3D. Thay vào đó, sau khi khởi chạy, nạn nhân được yêu cầu nhập mã mời để đăng ký trong ứng dụng, điều này cho thấy rằng những kẻ lừa đảo đang nhắm mục tiêu đến những người cụ thể thay vì chạy một chiến dịch hàng loạt.
Sau khi đăng ký, nạn nhân phải hoàn thành một số bước, bao gồm tải lên chứng minh thư hoặc hộ chiếu, cung cấp thông tin cá nhân và chi tiết liên quan đến công việc, đồng ý với các điều khoản và điều kiện. Sau đó, họ được hướng dẫn nạp tiền vào tài khoản của mình.
Tiền Biến Mất
Polovinkin viết: “Sau khi tiền gửi được thực hiện, tội phạm mạng sẽ tiếp quản và gửi thêm hướng dẫn, cuối cùng dẫn đến việc đánh cắp tiền của nạn nhân. Sau một vài giao dịch dường như thành công, nạn nhân bị thuyết phục đầu tư ngày càng nhiều tiền. Số dư tài khoản dường như tăng lên nhanh chóng. Tuy nhiên, khi nạn nhân cố gắng rút tiền, họ không thể làm như vậy”.
Ứng dụng web được xây dựng bằng JavaScript và bao gồm tất cả các chức năng của một tài khoản giao dịch hợp pháp. Có cài đặt tài khoản, biểu mẫu để tải lên thẻ ngân hàng và tài liệu ID, lịch sử giao dịch, lãi và lỗ, phần IPO và danh sách cổ phiếu có sẵn. Nó thậm chí còn cung cấp các gợi ý không chỉ bằng tiếng Anh mà còn cả tiếng Bồ Đào Nha, tiếng Trung và tiếng Hindi và có thể bắt chước các nền tảng giao dịch và tiền điện tử khác nhau.
Ông viết rằng vụ lừa đảo “nhấn mạnh tầm quan trọng của sự cảnh giác và giáo dục người dùng cuối, ngay cả khi đối phó với các ứng dụng có vẻ đáng tin cậy và củng cố sự cần thiết phải tiếp tục xem xét các bài nộp trên cửa hàng ứng dụng để ngăn chặn những trò gian lận như vậy tiếp cận các nạn nhân không nghi ngờ”.
Giải thích thuật ngữ:
- Trojan: Một loại phần mềm độc hại ngụy trang dưới dạng phần mềm безобидный để xâm nhập vào hệ thống.
- Mã độc (Malware): Thuật ngữ chung chỉ bất kỳ phần mềm nào được thiết kế để gây hại cho máy tính, mạng hoặc dữ liệu.
- Phishing: Hình thức lừa đảo trực tuyến, trong đó kẻ tấn công cố gắng đánh cắp thông tin cá nhân của người dùng bằng cách giả mạo thành một tổ chức uy tín.
- Kỹ thuật xã hội (Social Engineering): Phương pháp tấn công dựa trên việc khai thác tâm lý con người để lừa họ tiết lộ thông tin hoặc thực hiện các hành động có lợi cho kẻ tấn công.
- UniApp framework: Một framework đa nền tảng, cho phép nhà phát triển viết ứng dụng một lần và triển khai trên nhiều hệ điều hành và nền tảng khác nhau.
