Một nhóm có động cơ tài chính có trụ sở tại Trung Quốc đang tận dụng niềm tin gắn liền với các thương hiệu quốc tế nổi tiếng để dàn dựng một chiến dịch lừa đảo quy mô lớn kể từ năm 2019.
Tác nhân đe dọa, được đặt tên là Fangxiao bởi Cyjax, được cho là đã đăng ký hơn 42.000 miền mạo danh, với hoạt động ban đầu được quan sát thấy vào năm 2017.
Các nhà nghiên cứu Emily Dennison và Alana Witten cho biết: “Nó nhắm mục tiêu vào các doanh nghiệp trong nhiều lĩnh vực bao gồm bán lẻ, ngân hàng, du lịch và năng lượng”. “Các ưu đãi tài chính hoặc vật chất được hứa hẹn được sử dụng để lừa các nạn nhân tiếp tục truyền bá chiến dịch thông qua WhatsApp.”
Người dùng nhấp vào liên kết được gửi qua ứng dụng nhắn tin sẽ được chuyển hướng đến trang web do tác nhân kiểm soát, do đó, trang web này sẽ đưa họ đến một miền đích mạo danh một thương hiệu nổi tiếng, từ đó nạn nhân một lần nữa được đưa đến các trang web phân phối ứng dụng lừa đảo và phần thưởng không có thật.
Các trang web này nhắc khách truy cập hoàn thành một cuộc khảo sát để nhận giải thưởng tiền mặt, đổi lại họ được yêu cầu chuyển tiếp tin nhắn tới năm nhóm hoặc 20 người bạn. Tuy nhiên, chuyển hướng cuối cùng xoay quanh địa chỉ IP của nạn nhân và chuỗi Tác nhân người dùng của trình duyệt.
Các nhà nghiên cứu cho biết hơn 400 tổ chức, bao gồm Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald's và Knorr, đang bị bắt chước như một phần của kế hoạch tội phạm.
Ngoài ra, các cuộc tấn công trong đó các quảng cáo lừa đảo trên thiết bị di động được nhấp vào từ thiết bị android đã được quan sát thấy là đỉnh điểm trong việc triển khai một trojan di động có tên là Triada, gần đây đã được phát hiện lan truyền qua các ứng dụng WhatsApp giả mạo.
Không chỉ có Triada, vì một đích đến khác của chiến dịch là danh sách Cửa hàng Google Play của một ứng dụng có tên “App Booster Lite – RAM Booster” (com.app.booster.lite.phonecleaner.batterysaver.cleanmaster), có hơn 10 triệu lượt tải xuống.
Ứng dụng do một nhà phát triển có trụ sở tại Séc có tên là LocoMind tạo ra, được mô tả là “Trình tăng cường điện thoại mạnh mẽ”, “Trình dọn rác thông minh” và “Trình tiết kiệm pin hiệu quả”.
Các bài đánh giá dành cho ứng dụng đã chỉ trích nhà xuất bản vì đã hiển thị quá nhiều quảng cáo và thậm chí chỉ ra rằng chúng “Đã đến đây [the Play Store page] từ một trong những quảng cáo ‘android của bạn bị hỏng x%'.”
“Ứng dụng của chúng tôi không thể phát tán vi-rút”, LocoMind trả lời bài đánh giá vào ngày 31 tháng 10 năm 2022. “Mỗi bản cập nhật của chúng tôi đều được Google Play kiểm tra – họ đã xóa ứng dụng của chúng tôi từ lâu vì lý do này.”
Nếu hành động tương tự được thực hiện từ một thiết bị chạy iOS, nạn nhân sẽ được chuyển hướng đến Amazon thông qua một liên kết liên kết, trả cho người thực hiện một khoản hoa hồng cho mỗi lần mua hàng trên nền tảng thương mại điện tử được thực hiện trong 24 giờ tới.
Mối liên hệ với Trung Quốc của tác nhân đe dọa bắt nguồn từ sự hiện diện của văn bản tiếng Quan thoại trong một dịch vụ web được liên kết với aaPanel, một bảng điều khiển nguồn mở dựa trên Python để lưu trữ nhiều trang web.
Phân tích sâu hơn về các chứng chỉ TLS được cấp cho các miền khảo sát vào năm 2021 và 2022 cho thấy rằng phần lớn các đăng ký trùng lặp với múi giờ UTC+08:00, tương ứng với Giờ chuẩn Trung Quốc từ 9:00 sáng đến 11:00 tối
Các nhà điều hành có kinh nghiệm trong việc điều hành các loại chiến dịch mạo danh này, sẵn sàng năng động để đạt được mục tiêu của họ, đồng thời có khả năng mở rộng quy mô về mặt kỹ thuật và hậu cần để mở rộng hoạt động kinh doanh của họ,” các nhà nghiên cứu cho biết.
“Chiến dịch Fangxiao là phương pháp tạo khách hàng tiềm năng hiệu quả đã được chuyển hướng đến nhiều miền khác nhau, từ phần mềm độc hại, đến liên kết giới thiệu, đến quảng cáo và phần mềm quảng cáo.”
