Un grupo motivado financieramente con sede en China está aprovechando la confianza asociada con marcas internacionales populares para orquestar una campaña de phishing a gran escala que data de 2019.
Se dice que el actor de amenazas, apodado Fangxiao por Cyjax, registró más de 42,000 dominios impostores , con una actividad inicial observada en 2017.
«Se dirige a negocios en múltiples verticales, incluidos el comercio minorista, la banca, los viajes y la energía», dijeron las investigadoras Emily Dennison y Alana Witten . «Los incentivos financieros o físicos prometidos se utilizan para engañar a las víctimas para que sigan difundiendo la campaña a través de WhatsApp».
Los usuarios que hacen clic en un enlace enviado a través de la aplicación de mensajería son dirigidos a un sitio controlado por el actor que, a su vez, los envía a un dominio de destino que se hace pasar por una marca conocida, desde donde las víctimas son nuevamente conducidas a sitios que distribuyen aplicaciones fraudulentas. y recompensas falsas.
Estos sitios invitan a los visitantes a completar una encuesta para reclamar premios en efectivo, a cambio de lo cual se les pide que reenvíen el mensaje a cinco grupos o 20 amigos. La redirección final, sin embargo, depende de la dirección IP de la víctima y la cadena User-Agent del navegador .
Más de 400 organizaciones, incluidas Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald’s y Knorr, están siendo imitadas como parte del esquema criminal, dijeron los investigadores.
Alternativamente, se ha observado que los ataques en los que se hace clic en anuncios móviles fraudulentos desde un dispositivo Android culminan en el despliegue de un troyano móvil llamado Triada , que recientemente se detectó propagándose a través de aplicaciones falsas de WhatsApp.
No es solo Triada, ya que otro destino de la campaña es la lista de Google Play Store de una aplicación llamada «App Booster Lite – RAM Booster» ( com.app.booster.lite.phonecleaner.batterysaver.cleanmaster ), que tiene más de 10 millones descargas
La aplicación, creada por un desarrollador con sede en Chequia conocido como LocoMind, se describe como un «Potente refuerzo de teléfono», «Limpiador de chatarra inteligente» y un «Ahorrador de batería efectivo».
Las revisiones de la aplicación han llamado al editor por mostrar demasiados anuncios, e incluso señalan que «Llegaron aquí [la página de Play Store] desde uno de esos anuncios ‘su Android está dañado x%'».
«Nuestra aplicación no puede propagar virus», respondió LocoMind a la revisión el 31 de octubre de 2022. «Google Play verifica cada una de nuestras actualizaciones; habrían eliminado nuestra aplicación hace mucho tiempo por este motivo».
Si se realiza la misma acción desde un dispositivo con iOS, la víctima es redirigida a Amazon a través de un enlace de afiliado, lo que le otorga al actor una comisión por cada compra en la plataforma de comercio electrónico realizada durante las próximas 24 horas.
Las conexiones chinas del actor de amenazas se derivan de la presencia de texto en mandarín en un servicio web asociado con aaPanel , un panel de control de código abierto basado en Python para alojar múltiples sitios web.
Un análisis más detallado de los certificados TLS emitidos para los dominios de la encuesta en 2021 y 2022 revela que la mayor parte de los registros se superponen con la zona horaria UTC+08:00, que corresponde a la hora estándar de China de 9:00 a. m. a 11:00 p. m.
«Los operadores tienen experiencia en la ejecución de este tipo de campañas impostoras, están dispuestos a ser dinámicos para lograr sus objetivos y son técnica y logísticamente capaces de escalar para expandir su negocio», dijeron los investigadores.
«Las campañas de Fangxiao son métodos efectivos de generación de clientes potenciales que se han redirigido a varios dominios, desde malware hasta enlaces de referencia, anuncios y adware».
