Kampanye penipuan berskala besar memanfaatkan aplikasi perdagangan palsu yang dipublikasikan di Apple App Store dan Google Play Store, serta situs phishing, untuk menipu korbannya, berdasarkan temuan dari Group-IB.
Kampanye ini merupakan bagian dari skema penipuan investasi konsumen yang juga dikenal sebagai pemotongan babi, di mana calon korban dibujuk untuk melakukan investasi dalam mata uang kripto atau instrumen keuangan lainnya setelah mendapatkan kepercayaan mereka dengan menyamar sebagai hubungan romantis atau penasihat investasi.
Operasi manipulatif dan rekayasa sosial tersebut seringkali berakhir dengan korban kehilangan dana, dan dalam beberapa kasus, mengambil lebih banyak uang dari mereka dengan meminta berbagai biaya dan pembayaran lainnya.
Perusahaan yang berkantor pusat di Singapura mengatakan kampanye ini memiliki jangkauan global, dengan korban dilaporkan di seluruh Asia-Pasifik, Eropa, Timur Tengah dan Afrika. Aplikasi palsu, yang dibuat menggunakan UniApp Framework, telah diklasifikasikan dengan nama tersebut UniShadowTrade.
Klaster aktivitas tersebut dikatakan telah aktif setidaknya sejak pertengahan tahun 2023, memikat korbannya dengan aplikasi jahat dengan janji keuntungan finansial cepat. Aspek penting dari ancaman ini adalah salah satu aplikasi berhasil melewati proses peninjauan App Store Apple, sehingga memberikan ilusi legitimasi dan kepercayaan.
Aplikasi yang dimaksud, SBI-INT, tidak lagi tersedia untuk diunduh dari pasar aplikasi, namun menyamar sebagai perangkat lunak untuk “rumus matematika aljabar yang umum digunakan dan penghitungan area volume grafik 3D”.
Penjahat dunia maya diyakini melakukan hal ini melalui pemeriksaan yang menyertakan kode sumber aplikasi yang memeriksa apakah tanggal dan waktu saat ini lebih awal dari 22 Juli 2024, 00:00:00, dan jika demikian, meluncurkan layar palsu dengan rumus dan grafik.
Namun begitu aplikasi tersebut dihapus beberapa minggu setelah dipublikasikan, pelaku ancaman di balik operasi tersebut dikatakan telah mendistribusikan aplikasi tersebut, baik untuk Android dan iOS, melalui situs web phishing.
“Bagi pengguna iOS, menekan tombol unduh akan memicu pengunduhan file .plist, sehingga iOS meminta izin untuk menginstal aplikasi tersebut,” kata peneliti Group-IB Andrey Polovinkin.
Namun, setelah pengunduhan selesai, aplikasi tidak dapat langsung diluncurkan. Korban kemudian diinstruksikan oleh penjahat dunia maya untuk mempercayai profil pengembang Perusahaan secara manual. Setelah langkah ini selesai, aplikasi palsu tersebut akan beroperasi.
Pengguna yang akhirnya menginstal aplikasi dan membukanya akan disambut dengan halaman login, yang mengharuskan pengguna memberikan nomor telepon dan kata sandi mereka. Proses pendaftaran melibatkan memasukkan kode undangan ke dalam aplikasi, yang menunjukkan bahwa penyerang menargetkan individu tertentu untuk melakukan penipuan.
Pendaftaran yang berhasil memicu proses serangan enam langkah di mana para korban didesak untuk memberikan dokumen identitas sebagai bukti, informasi pribadi, dan rincian pekerjaan saat ini, setelah itu mereka diminta untuk menyetujui syarat dan ketentuan layanan untuk melakukan investasi.
Setelah setoran dilakukan, penjahat dunia maya mengirimkan instruksi lebih lanjut mengenai instrumen keuangan mana yang akan diinvestasikan dan sering kali menjamin bahwa instrumen tersebut akan menghasilkan keuntungan yang tinggi, sehingga menipu pengguna agar menginvestasikan lebih banyak uang. Untuk mempertahankan tipu muslihat ini, aplikasi tersebut dicurangi untuk menampilkan investasi mereka sebagai menghasilkan keuntungan.
Masalah dimulai ketika korban mencoba menarik dananya, dan pada saat itulah mereka diminta membayar biaya tambahan untuk mendapatkan kembali investasi utama dan keuntungan yang diperoleh. Kenyataannya, dana tersebut dicuri dan dialihkan ke rekening di bawah kendali penyerang.
Taktik baru lainnya yang diadopsi oleh pembuat malware adalah penggunaan konfigurasi tertanam yang mencakup secara spesifik tentang URL yang menghosting halaman login dan aspek lain dari aplikasi perdagangan yang diklaim diluncurkan dalam aplikasi tersebut.
Informasi konfigurasi ini dihosting di URL yang terkait dengan layanan sah yang disebut TermsFeed yang menawarkan perangkat lunak kepatuhan untuk menghasilkan kebijakan privasi, syarat dan ketentuan, dan spanduk persetujuan cookie.
“Aplikasi pertama yang ditemukan, didistribusikan melalui Apple App Store, berfungsi sebagai pengunduh, hanya mengambil dan menampilkan URL aplikasi web,” kata Polovinkin. Sebaliknya, aplikasi kedua, yang diunduh dari situs phishing, sudah berisi aplikasi web dalam asetnya.
Hal ini, menurut Group-IB, adalah pendekatan yang sengaja diambil oleh pelaku ancaman untuk meminimalkan kemungkinan deteksi dan menghindari munculnya tanda bahaya ketika aplikasi didistribusikan melalui App Store.
Lebih lanjut, perusahaan keamanan siber mengatakan mereka juga menemukan salah satu aplikasi penipuan investasi saham palsu di Google Play Store dengan nama FINANS INSIGHTS (com.finans.insights). Aplikasi lain yang ditautkan ke pengembang yang sama, Ueaida Wabi, adalah FINANS TRADER6 (com.finans.trader)
Meskipun kedua aplikasi Android tersebut tidak ada di Play Store, statistik dari Sensor Tower menunjukkan bahwa aplikasi tersebut diunduh kurang dari 5.000 kali. Jepang, Korea Selatan, dan Kamboja adalah tiga negara teratas yang dilayani oleh FINANS INSIGHTS, sedangkan Thailand, Jepang, dan Siprus adalah wilayah utama yang menyediakan FINANS TRADER6.
“Penjahat dunia maya terus menggunakan platform tepercaya seperti Apple Store atau Google Play untuk mendistribusikan malware yang menyamar sebagai aplikasi sah, mengeksploitasi kepercayaan pengguna terhadap ekosistem yang aman,” kata Polovinkin.
“Para korban dibujuk dengan janji keuntungan finansial yang mudah, namun ternyata mereka tidak dapat menarik dana setelah melakukan investasi besar. Penggunaan aplikasi berbasis web semakin menyembunyikan aktivitas jahat dan membuat deteksi menjadi lebih sulit.”