黑客通过欺诈网络攻击投资者以窃取财务数据

通过欺诈性股票和加密货币计划针对印度投资者的复杂网络犯罪活动已经升级，黑客利用社会工程、虚假移动应用程序和受感染的政府网站来窃取财务数据。

这些攻击利用数字投资平台的快速发展，使用 Telegram 频道、UPI 支付系统和虚假交易应用程序来耗尽受害者的资金。

恶意软件活动影响了数千名投资者，在经过验证的案例中损失超过 5 亿卢比（600 万美元）。

攻击者通过创建虚假投资公司、冒充 Binance 和 Tesla 等合法实体，并通过“BITCOIN MONEY EARNING”（19,800+ 订阅者）和“Wolf calls PAID Channel”（3,887 订阅者）等 Telegram 群组宣传不切实际的回报。

电报频道“BITCOIN MONEY EARNING”宣传虚假回报

这些团伙分享伪造的 UPI 付款收据和虚假的股票图表，以引诱受害者存入资金。

Cyfirma 分析师指出，一个由 15+ 欺诈性 Android 应用程序组成的网络，包括 stockheaven[.]网站，这些网站冒充合法的交易平台。

一旦用户通过 alomwebtechnology@upi 等 UPI ID 存入资金，提款就会被阻止，个人数据就会被收集以供进一步利用。

感染机制和恶意软件行为

该恶意软件的感染链始于受害者点击 Telegram 或 WhatsApp 链接，承诺“保证回报”。

WhatsApp 诈骗团伙

这些链接重定向到模仿政府门户或受感染的教育机构网站的网络钓鱼页面。

例如，攻击者利用印度工程学院域上的 XSS 漏洞来托管标记为“Top Agricultural Stocks Expert Trader Group”的欺诈性股票分析工具。

尝试访问此工具的用户将被重定向到一个名为“Elite Stock Trading Group”的欺骗性 WhatsApp 群组，该群组分发伪装成交易应用程序的 APK 文件。

恶意 URL 重定向逻辑

Cyfirma 研究人员反编译了一个这样的 APK（SHA256：3adea28201bd604a8298d9336b592300fc09f4c53535ec3e7394f48c0fc00a60），并发现了到 etf99 等恶意域的硬编码重定向逻辑[.]xyz 的

该应用程序使用 WebView 加载外部内容，掩盖其恶意意图：-

if (dataString.startsWith("https://stockheaven.site/user/dashboard")) {    this.f657t.loadUrl(dataString);    this.f662y.setOnRefreshListener(new q0(22, this));}

此代码注入一个隐藏的 WebView 组件，该组件加载 stockheaven[.]网站，一个欺诈易界面。

输入 UPI 详细信息或银行凭证的用户的数据会被泄露到与中国运营商相关联的命令和控制服务器，APK 源代码中的普通话注释证明了这一点。

该恶意软件还通过模拟合法的应用程序行为来采用持久性策略，例如生成虚假的交易历史记录和提供推荐奖金以鼓励更广泛的传播。

该活动突出了现代金融欺诈中社会工程和技术复杂性的融合。

Cyfirma 建议投资者通过 SEBI 等监管机构验证平台合法性，并避免在消息传递应用程序上主动提供投资报价。

敦促企业监控域模拟并定期进行漏洞评估，以防止网站泄露。

随着加密货币和数字交易在印度越来越受欢迎，网络安全专家警告说，此类攻击可能会激增，需要监管机构、平台和用户之间协调努力以降低风险。

原文来自: cybersecuritynews.com