Uni-App ist ein in China weit verbreitetes Entwicklungs-Toolkit mit eigenem Ökosystem. Es ermöglicht Entwicklern, eine Vue.js-Codebasis zu erstellen und diese parallel als mobile und Desktop-Anwendung oder als mobiloptimierte Website auszuliefern. Nach Darstellung von Infoblox ist das Framework in vielen legitimen Produkten im Einsatz; Hinweise auf eine Beteiligung des Herstellers DCloud an den Betrugsfällen gibt es dem Bericht zufolge nicht.

Problematisch ist laut Infoblox vielmehr ein Markt für betrügerische Vorlagen, die auf Uni-App aufbauen. Die Sicherheitsfirma entdeckte, dass solche Investment-Scam-Templates verkauft werden und zahlreiche Websites, die sie verwenden, technische und operative Gemeinsamkeiten aufweisen. Infoblox verweist dabei nicht nur auf technische Verbindungen, sondern auch auf Muster beim Wachstum der DCloud-Investmentseiten sowie auf koordinierte Rückgänge bei neuen Domainregistrierungen über unterschiedliche Hosting-Anbieter hinweg. Das deute auf einen zentralen Akteur hin, der Störungen ausgesetzt war oder abgestimmte Änderungen über seine DCloud-Betrugsseiten hinweg vorgenommen habe.

Insgesamt identifizierte Infoblox mehr als 236.000 Second-Level-Domains, die zu dieser Scam-Infrastruktur gehören. Darunter sind gefälschte Kryptobörsen, nachgeahmte Glücksspielangebote, Marken-Imitate, WhatsApp-Phishing-Seiten und mehrsprachige Schweineschlachtungs-Betrugsseiten. Als bekanntes Beispiel nennt der Bericht RainbowEx, eine gefälschte Krypto-Plattform, die international Schlagzeilen machte, nachdem tausende Einwohner einer kleinen argentinischen Stadt dazu gebracht worden waren, Geld einzuzahlen.

Die betrügerischen Domains werden über zahlreiche Anbieter gehostet und laut Infoblox seit Mitte 2022 gestartet. Seit Ende 2024 sei ein deutlicher Anstieg zu beobachten gewesen, nach dem RainbowEx-Skandal. Nach Angaben der Forscher sprang die Zahl neu beobachteter Websites nach Oktober 2024 in der Spitze auf rund 15.000 pro Monat. Infoblox vermutet, dass sich das Framework innerhalb des Scam-Ökosystems gerade wegen der Berichterstattung großer Medienhäuser als bekannte Plattform etabliert habe.

Den größten Anteil der von Infoblox per DCloud-Fingerabdruck erkannten Seiten machen Investment-Betrugsdomains aus. Diese würden von mehreren nicht miteinander verbundenen Betreibern betrieben, möglicherweise von Dutzenden oder sogar Hunderten, so die Sicherheitsfirma. Neben gefälschten Kryptobörsen und Plattformen nach dem Muster „einzahlen und handeln“ fanden die Forscher auch Krypto-Wallet-Drainer, Imitate von Vorhersagemärkten und Glücksspielangeboten, Phishing gegen Messaging-Plattformen sowie weitere Phishing- und Zugangsdaten-Ernteseiten.

Infoblox nennt zudem konkrete Operationen, die Uni-App eingesetzt haben sollen. Dazu gehört Lightning Shared Scooter Co. (LSSC), eine Kampagne, die in den USA vermutlich Verluste in Millionenhöhe verursacht hat. Sie versprach Anlegern stark steigende passive Einnahmen durch die Finanzierung eines Hightech-Unternehmens für Roller-Sharing und verlieh sich durch physische Ladenlokale zusätzliche Glaubwürdigkeit.

Eine ähnliche Roller-Investment-Operation ist laut Infoblox Yuechi Sharing Technology Ltd. (YST), die derzeit in Australien, Neuseeland und den Vereinigten Staaten aktiv ist. Auch deren Frontend basiert demnach auf dem Uni-App-Framework. YST verfüge zwar über legitime Registrierungsunterlagen, sei aber mit einem Netzwerk weiterer Investment-Betrugswebsites verbunden.

Infoblox spricht von einer drastischen Skalierung solcher mit dem DCloud-Framework betriebenen Betrugsseiten in den vergangenen zwei Jahren. Die Betreiber würden weiterhin komplexe reale Betrugsschemata starten, um Opfer zu täuschen. Nach Ansicht der Sicherheitsfirma ist es überfällig, die in diesem Ökosystem aktiven Bedrohungsakteure ganzheitlich zu verfolgen und nach Gemeinsamkeiten zu suchen, die auf gemeinsame Kontrolle der Websites hindeuten.