Pig Butchering แอปพลิเคชันซื้อขายแลกเปลี่ยนปลอม มุ่งเป้าไปที่ผู้ใช้งาน iOS และ Android

ตั้งแต่เดือนพฤษภาคม 2024 นักวิเคราะห์ของ Group-IB ได้ตรวจพบแอปพลิเคชันมือถือปลอมจำนวนมากที่ปลอมเป็นแพลตฟอร์มการซื้อขายในหลายภูมิภาค แอปพลิเคชันทั้งหมดนี้ได้รับการพัฒนาสำหรับแพลตฟอร์ม Android โดยใช้เฟรมเวิร์กการพัฒนาข้ามแพลตฟอร์มเดียวกัน หนึ่งในแอปพลิเคชันที่พบถูกปล่อยให้ดาวน์โหลดได้ผ่าน Google Play store อย่างเป็นทางการ ขณะที่แอปพลิเคชันที่คล้ายกันซึ่งมุ่งเป้าไปที่อุปกรณ์ iOS ก็ถูกพบในเวลาต่อมา โดยแตกต่างจากโทรจันบนมือถือทั่วไป เช่น GoldPickaxe ซึ่งนักวิเคราะห์ของ Group-IB พบครั้งแรกในเดือนกุมภาพันธ์ 2024 แอปพลิเคชันที่น่าสงสัยเหล่านี้โดยทั่วไปไม่พบคุณสมบัติที่เป็นอันตราย โดยผู้ไม่หวังดีได้สร้างส่วนหน้าของแพลตฟอร์มการซื้อขายที่ถูกลิขสิทธิ์เพื่อหลอกลวงเหยื่อ

แม้ว่าเทคนิคการหลอกลวงประเภทนี้ ซึ่งตอนนี้รู้จักกันในชื่อ "pig butchering" จะไม่ใช่เรื่องใหม่ แต่กลยุทธ์ และเทคนิคที่ใช้โดยผู้ไม่หวังดียังคงมีการพัฒนาอย่างต่อเนื่อง

Pig Butchering เป็นคำที่ใช้เพื่ออธิบายการหลอกลวงที่ซับซ้อน ซึ่งผู้ไม่หวังดีจะหลอกเหยื่อให้เข้ามามีส่วนร่วมในแผนการลงทุนปลอม โดยส่วนใหญ่จะเกี่ยวกับสกุลเงินดิจิทัล หรือเครื่องมือทางการเงินอื่น ๆ ชื่อของการหลอกลวงนี้อ้างอิงถึงการเลี้ยงสุกรให้เติบโตขึ้นก่อนการขาย ซึ่งเป็นสัญลักษณ์ของการที่ผู้ไม่หวังดีสร้างความไว้วางใจ และดึงดูดการลงทุนจากเหยื่อก่อนที่จะลงมือทำการหลอกลวง

การหลอกลวงเหล่านี้ส่วนใหญ่เริ่มต้นด้วยเทคนิค social engineering เช่น การพบปะในแอปหาคู่, แพลตฟอร์มโซเชียลมีเดีย หรือผ่านทางโทรศัพท์ ผู้ไม่หวังดีส่วนใหญ่จะใช้เวลาหลายสัปดาห์จนไปถึงหลายเดือนในการสร้างความไว้วางใจจากเหยื่อ โดยจะแกล้งทำเป็นที่ปรึกษาด้านการซื้อขาย หรือการลงทุน เมื่อเหยื่อลงทุนเงินจำนวนมากเพียงพอแล้ว ผู้ไม่หวังดีก็จะขโมยเงินออกไป โดยไม่หลงเหลือร่องรอยอะไรไว้เลย

การหลอกลวงส่วนใหญ่จะจบลงด้วยการที่เหยื่อสูญเสียเงินการลงทุนเริ่มต้น และในบางกรณีก็ถูกกดดันให้จ่ายค่าธรรมเนียม หรือภาษีเพิ่มเติม ซึ่งเป็นเพียงการพยายามในการเรียกเอาเงินของเหยื่อเพิ่มเติม วิธีการนี้ได้รับการอธิบายอย่างชัดเจนจากเหยื่อในฟอรัมเฉพาะทางต่าง ๆ

ในขณะที่วิธีการของ Pig Butchering จะได้รับการบันทึกไว้อย่างกว้างขวาง การวิจัยล่าสุดของ Group-IB ได้ตรวจพบเหยื่อในภูมิภาคเอเชียแปซิฟิก, ยุโรป และตะวันออกกลาง รวมถึงแอฟริกา ซึ่งขอบเขตที่แท้จริงอาจกว้างกว่านี้มาก ในการวิจัยนี้เราจะมุ่งเน้นไปที่แคมเปญ Pig Butchering ที่มุ่งเป้าไปที่ผู้ใช้ Apple iOS

Infection chain

ในระหว่างการตรวจสอบ นักวิจัยไม่สามารถระบุวิธีการที่แน่ชัดที่ผู้ไม่หวังดีใช้ในการมุ่งเป้าไปยังบุคคลที่อาจเป็นเหยื่อได้ อย่างไรก็ตาม มีแนวโน้มว่าพวกเขาใช้เทคนิค social engineering ตามที่ได้แจ้งไว้ก่อนหน้านี้

เราได้ค้นพบสองวิธีในการหลอกลวง ในเบื้องต้นผู้ไม่หวังดีจะใช้วิธีการอัปโหลดแอปพลิเคชัน iOS ปลอมไปยัง Apple Store อย่างเป็นทางการได้สำเร็จ ทำให้สามารถใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้มีต่อระบบของ Apple ความไว้วางใจนี้ทำให้เหยื่อไม่ระมัดระวังตัว ทำให้เสี่ยงต่อการถูกหลอกมากยิ่งขึ้น

แอปพลิเคชันปลอมยังคงอยู่ใน Apple App Store เป็นเวลาหลายสัปดาห์ก่อนที่จะถูกลบออก โดยหลังจากถูกลบออก ผู้ไม่หวังดีได้เปลี่ยนไปเผยแพร่แอปพลิเคชันผ่านเว็บไซต์ฟิชชิงแทน โดยสามารถดาวน์โหลดได้ทั้ง Android และ iOS สำหรับผู้ใช้ iOS การกดปุ่มดาวน์โหลดจะทำให้ไฟล์ .plist ถูกดาวน์โหลด ซึ่งจะแจ้งเตือนขอให้ iOS อนุญาตติดตั้งแอปพลิเคชัน อย่างไรก็ตาม หลังจากดาวน์โหลดเสร็จสิ้น แอปพลิเคชันจะไม่สามารถเปิดใช้งานได้ทันที โดยเหยื่อจะได้รับคำแนะนำจากผู้ไม่หวังดีให้ Trust developer profile ของบริษัท เมื่อขั้นตอนนี้เสร็จสิ้น แอปพลิเคชันปลอมจะสามารถทำงานได้ปกติ

คำอธิบายของแอปพลิเคชันอ้างว่าออกแบบมาเพื่อสูตรคณิตศาสตร์พีชคณิต และการคำนวณปริมาตรกราฟิก 3 มิติ อย่างไรก็ตามเมื่อเหยื่อเปิดแอปพลิเคชันขึ้นมา จะพบกับหน้าล็อกอินเพื่อที่จะลงทะเบียนในแอปพลิเคชันที่เหยื่อต้องกรอกรหัสเชิญ วิธีการนี้แสดงให้เห็นว่าผู้ไม่หวังดีไม่ได้ดำเนินการเป็นจำนวนมาก แต่มุ่งเป้าไปที่บุคคลเฉพาะเจาะจงแทน

เมื่อผู้ใช้ลงทะเบียนกับแอปพลิเคชันปลอมแล้ว ผู้ใช้จะถูกหลอกให้ดำเนินการหลายขั้นตอน ขั้นตอนแรกผู้ใช้จะถูกขอให้อัปโหลดเอกสารประจำตัว เช่น บัตรประจำตัวประชาชน หรือพาสปอร์ต จากนั้นผู้ใช้จะถูกขอให้ระบุข้อมูลส่วนตัว ตามด้วยรายละเอียดที่เกี่ยวข้องกับงาน หลังจากที่ยอมรับข้อกำหนด และเงื่อนไข และการเปิดเผยข้อมูลแล้ว ผู้ใช้จะได้รับคำแนะนำให้เติมเงินเข้าบัญชีของตน เมื่อลงทุนเสร็จสิ้น ผู้ไม่หวังดีจะเข้าควบคุม และให้คำแนะนำเพิ่มเติม ซึ่งส่งผลให้เกิดการขโมยเงินของเหยื่อไปในที่สุด

รายละเอียดทางเทคนิค

แอปพลิเคชันสำหรับ iOS และ Android มีความแตกต่างกันเพียงเล็กน้อย เนื่องจากฟังก์ชันการทำงานหลักใช้ระบบเว็บ และให้บริการผ่าน URL เว็บแอปพลิเคชันสร้างขึ้นบนเฟรมเวิร์ก UniApp ซึ่งช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันข้ามแพลตฟอร์มโดยใช้ Vue.js UniApp ซึ่งช่วยให้สามารถพัฒนาแอปพลิเคชันที่สามารถทำงานได้อย่างราบรื่นบน Android, iOS และเว็บเบราว์เซอร์ด้วยโค้ดแบบเดียว โดยการรวมส่วนประกอบพื้นฐาน และเทคโนโลยีเว็บ นักพัฒนาสามารถเขียนโค้ดเพียงครั้งเดียว และนำไปใช้ในหลายแพลตฟอร์มได้

ตามที่ได้ระบุไว้ก่อนหน้านี้ แอปพลิเคชันนี้ไม่มีฟังก์ชันการทำงานของโทรจันมือถือแบบทั่วไป ฟังก์ชันหลักของมันคือการเปิด Web View ตามข้อกำหนด แอปพลิเคชันจะขอแค่สิทธิ์เข้าถึงแกลเลอรีรูปภาพ

ก่อนที่จะแสดงหน้าล็อกอิน แอปพลิเคชัน iOS จะทำการตรวจสอบหลายอย่าง โดยจะตรวจสอบรุ่นของอุปกรณ์ เนื่องจากแอปพลิเคชันนี้ออกแบบมาให้ทำงานเฉพาะบนโทรศัพท์มือถือ ขั้นแรกจะตรวจสอบวันที่ และเวลา หากเป็นวันที่ก่อน 22 กรกฎาคม 2024 เวลา 00:00:00 แอปพลิเคชันจะเริ่มกิจกรรมปลอมที่มีสูตร และกราฟิก โดยนักวิจัยสันนิษฐานว่าข้อกำหนดนี้จำเป็นเพื่อหลีกเลี่ยงการตรวจสอบของ Apple ก่อนที่จะเผยแพร่ใน Apple Store กลยุทธ์ง่าย ๆ นี้ช่วยให้ผู้ไม่หวังดีสามารถอัปโหลดแอปพลิเคชันปลอมของตนไปยัง Apple Store ได้

หากการตรวจสอบทั้งหมดสำเร็จ แอปพลิเคชันจะดึงที่อยู่ของเว็บแอปพลิเคชัน ค่าคอนฟิกจะถูกฝังอยู่ที่ส่วนท้ายของหน้า HTML โดยมีสัญลักษณ์ ## อยู่ในนั้น พารามิเตอร์การตั้งค่าจะถูกแยกออกด้วยเครื่องหมาย commas พารามิเตอร์ที่สองระบุที่อยู่ซึ่งเป็น address ของแอปพลิเคชันเว็บ รวมถึงหน้าเข้าสู่ระบบ

จุดที่ควรสังเกต คือ TermsFeed เป็นบริการออนไลน์ที่ให้ความช่วยเหลือในการสร้างเอกสารทางกฎหมายที่ปรับแต่งได้ เช่น นโยบายความเป็นส่วนตัว, ข้อกำหนดในการให้บริการ และข้อจำกัดความรับผิดชอบสำหรับเว็บไซต์, แอปพลิเคชันมือถือ และธุรกิจออนไลน์

สตริงจะถูกแยกวิเคราะห์โดยแอปพลิเคชัน และเก็บไว้ในที่เก็บข้อมูลในตัวเครื่องในรูปแบบ Dictionary พารามิเตอร์ส่วนใหญ่มีหน้าที่กำหนดวิธีการแสดงผลของเว็บแอปพลิเคชันบนมือถือ พารามิเตอร์ "2", "3", "4" และ "5" จะถูกนำไปใช้ในกรณีที่มีการเปิดเว็บแอปพลิเคชันปลอมภายในแอปพลิเคชัน

แอปพลิเคชันแรกที่ถูกค้นพบที่เผยแพร่ผ่าน Apple App Store ทำหน้าที่เป็นตัวดาวน์โหลด โดยเพียงแค่ดึง และแสดง URL ของเว็บแอปพลิเคชัน ในทางตรงกันข้ามแอปพลิเคชันที่สองซึ่งดาวน์โหลดจากเว็บไซต์ฟิชชิงมีเว็บแอปพลิเคชันอยู่ภายในเนื้อหาอยู่แล้ว นักวิจัยเชื่อว่าวิธีนี้เป็นการจงใจ เนื่องจากแอปพลิเคชันแรกมีอยู่ใน App Store อย่างเป็นทางการ และผู้ไม่หวังดีอาจพยายามลดความเสี่ยงในการถูกตรวจจับ ตามที่ได้ระบุไว้ก่อนหน้านี้ แอปพลิเคชันนี้อ้างว่าทำหน้าที่เป็นแค่เครื่องมือสำหรับสูตรคณิตศาสตร์ และการรวมบัญชีการซื้อขายส่วนบุคคลภายในแอป iOS อาจทำให้เกิดความสงสัยได้

เว็บแอปพลิเคชันถูกสร้างขึ้นโดยใช้ JavaScript และให้ฟังก์ชันการทำงานเต็มรูปแบบของบัญชีการซื้อขาย มีคำแนะนำให้บริการหลายภาษา เช่น อังกฤษ, โปรตุเกส, จีน, และฮินดี รวมถึงฟีเจอร์ต่าง ๆ เช่น การตั้งค่าบัญชี, แบบฟอร์มสำหรับอัปโหลดบัตรธนาคาร และเอกสารประจำตัว, ประวัติการทำธุรกรรม, กำไร และขาดทุน, IPO, รายการหุ้นที่มีอยู่ และอื่น ๆ เมื่อเว็บแอปพลิเคชันเปิดอยู่ภายในแอปพลิเคชันมือถือ การสื่อสารกับ C2 Server จะถูกสร้างขึ้นผ่าน WebSocket ในขณะที่ในเว็บเบราว์เซอร์ การเชื่อมต่อจะถูกเข้ารหัสผ่าน HTTPS

เพื่อที่จะทำให้การหลอกลวงเสร็จสมบูรณ์ เหยื่อจะถูกขอให้เติมเงินในบัญชีของตน เมื่อมีการฝากเงินแล้ว ผู้ไม่หวังดีจะสั่งให้เหยื่อซื้อหุ้นตามที่กำหนด หลังจากทำการซื้อขายที่ดูเหมือนจะประสบความสำเร็จในช่วงแรก เหยื่อจะถูกชักชวนให้ลงทุนเงินมากขึ้นเรื่อย ๆ ยอดเงินในบัญชีจะดูเหมือนมีการเพิ่มขึ้นอย่างรวดเร็ว อย่างไรก็ตามเมื่อเหยื่อพยายามถอนเงินจะไม่สามารถทำได้

รายละเอียดเพิ่มเติม

ตามที่ได้ระบุไว้ข้างต้น การตรวจสอบเริ่มต้นด้วยการวิเคราะห์แอปพลิเคชัน Android ตามคำขอของลูกค้า โดยลูกค้าแจ้งว่า ผู้ใช้ถูกหลอกให้ติดตั้งแอปพลิเคชันซึ่งเป็นส่วนหนึ่งของการหลอกลวงการลงทุนในหุ้น ในระหว่างการตรวจสอบ ทำให้ค้นพบรายชื่อแอปพลิเคชันปลอมที่คล้ายกัน ซึ่งหนึ่งในนั้นมีอยู่ใน Google Play Store แอปเหล่านี้ถูกออกแบบมาเพื่อแสดงข่าวสาร และบทความที่เกี่ยวข้องกับหุ้น ซึ่งทำให้ดูมีความน่าเชื่อถือ ซึ่งปัจจุบันแอปพลิเคชันปลอมเหล่านี้ได้ถูกลบออกจาก Play Store แล้ว

แพ็คเกจ Android ที่ตรวจพบทั้งหมดมีชื่อแพ็คเกจเดียวกันคือ com.finans.trader หรือ com.finans.insights แอปพลิเคชันเหล่านี้สร้างขึ้นโดยใช้เฟรมเวิร์ก UniApp โดยมีฟังก์ชันการทำงานหลักที่เขียนด้วยโค้ด JavaScript แอปพลิเคชันเหล่านี้สามารถเลียนแบบแพลตฟอร์มการซื้อขาย และสกุลเงินดิจิทัลต่าง ๆ ได้ ด้านล่างนี้คือรายการชื่อที่เป็นไปได้ที่จะมีการปลอมแปลง ซึ่งตรวจพบในแอปพลิเคชัน

ตัวอย่างที่พบได้รับการออกแบบมาเพื่อแสดงแอปพลิเคชันการซื้อขายปลอมที่โฮสต์บนโดเมน api.fxbrokers[.]cc โดเมนนี้เป็นส่วนหนึ่งของโครงสร้างการหลอกลวงขนาดใหญ่ ซึ่งมีโดเมนที่เกี่ยวข้องหลายโดเมนที่ลงทะเบียนภายใต้ชื่อที่คล้ายกัน โดยเลียนแบบโบรกเกอร์ และองค์กรการเงินเราต้องการให้ความสนใจเป็นพิเศษกับโดเมน gold-blockchain[.]cc ซึ่งเป็นอีกโดเมนหนึ่งที่เกี่ยวข้องกับแผนการหลอกลวงนี้

ถัดจากโดเมนนี้ เราพบแพ็คเกจ Android ชื่อ com.ubsarov.ubsarovfx ก่อนหน้านี้ในบทความเราได้แบ่งปันข้อความจากเหยื่อรายหนึ่งที่กล่าวถึงแอปพลิเคชันปลอมชื่อ Ubsarov FX6 แม้ว่าจะไม่มีหลักฐานโดยตรงที่เชื่อมโยงกรณีเหล่านี้ แต่เรามีเหตุผลให้เชื่อว่าแอปพลิเคชัน com.ubsarov.ubsarovfx ที่ค้นพบ และแอปพลิเคชันอื่น ๆ ที่กล่าวถึงในบทความนี้เป็นส่วนหนึ่งของแคมเปญที่เกี่ยวข้องกับ UOBE FX

กรณีการโกง UOBE FX เกี่ยวข้องกับโบรกเกอร์ปลอมที่ดำเนินการภายใต้การแอบอ้าง และใช้กลยุทธ์หลอกลวง โดยมุ่งเป้าหมายเหยื่อผ่านแอปหาคู่ และวิธีการ social engineering

คำแนะนำ

  • ดำเนินการติดตั้งระบบตรวจสอบเซสชันผู้ใช้ เพื่อตรวจจับการมีอยู่ของมัลแวร์ และบล็อกเซสชันที่น่าสงสัยก่อนที่จะมีการป้อนข้อมูลส่วนบุคคลใด ๆ
  • ให้ความรู้แก่พนักงานเกี่ยวกับอันตรายของมัลแวร์บนมือถือ รวมถึงวิธีการสังเกตเว็บไซต์ปลอม หลีกเลี่ยงแอปพลิเคชันที่เป็นอันตราย และปกป้องรหัสผ่าน และข้อมูลส่วนบุคคลของพวกเขา
  • ใช้แพลตฟอร์ม Digital Risk Protection เพื่อระบุ และลดการใช้งานโลโก้, เครื่องหมายการค้า, เนื้อหา, และองค์ประกอบการออกแบบของคุณโดยไม่ได้รับอนุญาตในสื่อดิจิทัล
  • เฝ้าระวังอย่างต่อเนื่อง การใช้โซลูชันเฉพาะทางสามารถเพิ่มความปลอดภัยได้โดยการให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามใหม่ ๆ แก่ทีมรักษาความปลอดภัย

สำหรับ End Users

  • ระวังเมื่อเปิดลิงก์ที่ส่งมายังอุปกรณ์มือถือของคุณ
  • ระมัดระวังข้อความที่ร้องขอจากคนแปลกหน้าบนโซเชียลมีเดีย, แอปหาคู่, หรือแพลตฟอร์มอื่น ๆ ผู้ไม่หวังดีส่วนใหญ่เริ่มต้นการสนทนาด้วยความเป็นมิตร และค่อย ๆ ชวนไปสู่การลงทุน
  • การตรวจสอบประวัติอย่างละเอียดเกี่ยวกับแพลตฟอร์มการลงทุนหรือโอกาสงานใด ๆ เป็นสิ่งสำคัญก่อนที่จะตัดสินใจลงทุนหรือเข้าร่วม อ่านรีวิว, ตรวจสอบเว็บไซต์, และความเคลื่อนไหวบนโซเชียลมีเดียเพื่อตรวจสอบความน่าเชื่อถือ
  • ติดตั้งแอปพลิเคชันจากเว็บไซต์ทางการเท่านั้น แต่หากถูกขอให้ติดตั้งจากสโตร์อย่างเป็นทางการก็อย่าไว้วางใจ ควรตรวจสอบผู้เผยแพร่ คะแนนแอปพลิเคชัน และความคิดเห็นของผู้ใช้เสมอเพื่อยืนยันความถูกต้อง
  • อย่าให้ข้อมูลส่วนตัวหรือข้อมูลทางการเงินที่สำคัญกับใครก็ตามที่คุณพบทางออนไลน์ โดยเฉพาะอย่างยิ่งหากคุณยังไม่เคยพบหน้ากันในชีวิตจริง
  • ติดตามข่าวสารเกี่ยวกับวิธีการโกงล่าสุด และเรียนรู้วิธีสังเกตกลโกงที่อาจเกิดขึ้น
  • จำไว้เสมอว่า หากดูดีเกินจริง นั่นอาจไม่ใช่เรื่องจริง

ที่มา : group-ib.com