Мошенники вывели производство скам-сайтов на почти промышленный уровень. Исследователи Infoblox Threat Intel обнаружили более 236 тыс. доменов второго уровня, которые использовались в мошеннической инфраструктуре на базе DCloud Uni-App. Это легальный фреймворк для разработки мобильных приложений и веб-интерфейсов, популярный в Китае. Сам DCloud, по данным исследователей, не связан с преступным использованием своей технологии. Скам-операторы используют готовые шаблоны, меняют домены, бренды, языки, легенды, внешний вид и платёжные маршруты.
DCloud Uni-App позволяет писать один код на Vue.js и разворачивать его как мобильное приложение, веб-сайт или интерфейс под разные платформы. Для обычных разработчиков это удобно. Для мошенников — тоже. Один шаблон можно быстро размножать, адаптировать под регион и запускать заново после блокировки.
Infoblox изучала сайты, построенные на DCloud Uni-App, и выделила отдельную мошенническую популяцию. В неё вошли фальшивые инвестиционные платформы, криптобиржи, сайты для кражи криптокошельков, поддельные азартные и прогнозные сервисы, фишинговые страницы под мессенджеры и шаблонные формы для сбора учётных данных.
Всего исследователи нашли 236 493 домена второго уровня, связанных с такими схемами. Домены появлялись с середины 2022 года и размещались у разных хостеров. После октября 2024 года темпы заметно выросли: в пиковые месяцы появлялось примерно по 15 тыс. новых сайтов.
Октябрь 2024 года стал важной точкой из-за RainbowEx — фальшивой криптоплатформы, которая стала широко известна после истории в аргентинском городе Сан-Педро. Там в схему вложились тысячи жителей, включая людей из местной администрации и полиции. Когда пользователи попытались вывести деньги, платформа начала блокировать выплаты.
Позже выяснилось, что RainbowEx не была уникальной разработкой. Её интерфейс, регистрация, «торговая» панель и логика вовлечения жертв оказались частью более широкого шаблонного подхода на базе DCloud Uni-App. После публичного резонанса похожие сайты не исчезли. Их стало больше.
Uni-App не является вредоносным инструментом. Это фреймворк, который используют и легальные разработчики. Но у него есть свойства, которые хорошо подходят скам-операторам:
-
Кроссплатформенность. Один шаблон можно разворачивать как мобильный интерфейс и сайт. Жертве кажется, что у проекта есть полноценное приложение, а не одноразовая страница.
-
Узнаваемая мобильная логика. Такие сайты часто выглядят как приложение: кнопки, вкладки, личный кабинет, уведомления, «баланс», графики.
-
Скорость клонирования. Мошенникам не нужно каждый раз писать платформу с нуля. Достаточно заменить название, логотип, цвета, домен, язык и легенду.
-
Технические отпечатки. Для защитников это плюс: сайты на Uni-App оставляют характерные следы. Для преступников это минус, поэтому более осторожные операторы пытаются убирать стандартные признаки DCloud. Infoblox пишет, что такие «зачищенные» сайты чаще встречались у более устойчивых хостеров и выглядели как работа более подготовленных групп.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
Читайте также
Почти 400 доменов с пиратскими трансляциями ЧМ конфискованы: бесплатный футбол снова оказался приманкой для вредоносов
В Дании задержали активиста после публикации личных данных премьер-министра