André Carneiro, senior managing director da Sophos no Brasil.
Recentemente, golpistas digitais voltaram a usar uma modalidade de ataque chamada CryptoRom, combinando golpes em aplicativos românticos com fraudes no comércio de criptomoedas. Por meio da engenharia social, estes ataques induzem as vítimas a instalarem aplicativos falsos de criptomoedas no Iphone e no Android. Inicialmente, os casos foram identificados no final de 2021 em usuários na Ásia e, agora, retornam de um modo mais sofisticado e a nível global.
As vítimas são contatadas primeiramente por meio de aplicativos de namoro, como o Tinder, ou redes sociais como Facebook, Instagram, entre outras. As conversas são, posteriormente, transferidas para apps de mensagens, como o Telegram - esse primeiro contato serve como uma forma de familiarização entre o atacante e a vítima. Passada esta primeira fase, a conversa é desviada para assuntos de investimentos, momento no qual aplicativos de negociação falsos de criptomoedas são instalados por meio das lojas virtuais nos celulares das vítimas, que têm a confiança e a ilusão de que aquele contato virtual é confiável.
Propondo retornos rápidos, os atacantes então solicitam uma pequena quantia inicial de transferência financeira, inicialmente por meio de uma compra legítima de criptomoedas (usando o Binance, por exemplo) e, posteriormente, a criptomoeda é transferida para o aplicativo de negociações falsas. Nesta ferramenta falsa, são realizados lucros rápidos e atrativos, a fim de convencer quem aplicou de que uma “mina de ouro virtual" foi descoberta " - em alguns casos os criminosos deixam, inclusive, que uma quantidade de dinheiro seja retirada para dar ainda mais credibilidade ao ataque. Este ganho fácil faz com que as vítimas invistam cada vez mais recursos em busca de lucros atrativos, sem nenhuma correlação com o mercado real, o que pode causar prejuízos milionários.
Golpe ilude vítimas captadas em apps de relacionamento com ganhos financeiros rápidos e irreais
A Sophos, líder mundial em inovação e entrega de cibersegurança como serviço que lidero no Brasil, identificou os primeiros apps falsos, como Ace Pro e MBM_BitScan, que conseguiram contornar os rígidos protocolos de segurança da Apple, sem a necessidade de convencer as vítimas a baixarem aplicativos falsos não autorizados pela plataforma, dando assim, ainda mais credibilidade ao ataque. A Apple e o Google foram notificados e, desde então, ambos removeram os apps clandestinos das suas lojas.
É primordial que os usuários entendam que não existe almoço grátis e que devem desconfiar de qualquer transação suspeita
Em geral, é difícil conseguir que malwares passem pelos processos de segurança da Apple App Store. Por isso, quando a Sophos começou a investigar os golpes do CryptoRom que visavam usuários de iOS, os hackers tinham que persuadir as pessoas a, antes de mais nada, instalar um perfil de configuração, para depois baixar o aplicativo falso. Isso envolve um nível adicional de engenharia social, que é difícil de ser superado. Muitas das potenciais vítimas foram "alertadas" de que algo estava errado, visto que não conseguiam baixar um app supostamente legítimo diretamente da loja, mas, por estar dentro da App Store, os golpistas aumentaram seu grupo de possíveis vítimas, particularmente porque a maioria dos usuários confia na Apple.
Tais aplicativos também não foram afetados pelo novo modo de bloqueio do iOS, que deveria impedir que invasores carregassem perfis móveis para engenharia social. Na verdade, estes criminosos do CryptoRom estão mudando suas táticas, ou seja, se concentrando em contornar o processo de revisão da App Store, diante dos recursos de segurança do Lockdown, formato de bloqueio da plataforma.
O Ace Pro é descrito na loja de aplicativos como um scanner de QR code, mas na verdade é uma plataforma falsa de investimentos em criptomoedas. Uma vez aberta, os usuários veem uma interface de negociação em que, supostamente, podem depositar e retirar moedas, entretanto, qualquer dinheiro depositado vai diretamente para os golpistas. Para passar pela segurança da App Store, a Sophos descobriu que os atacantes tinham o app conectado a um site remoto com funcionalidade legítima quando este foi originalmente submetido para revisão, o que incluía um QR Code, para que parecesse realmente autêntico para os revisores. Porém, uma vez aprovado, os hackers o redirecionavam para um domínio registrado na Ásia que, por fim, enviava um pedido que corresponde a um conteúdo de outro host, que redirecionava para a página da fraude.?
Assim como o Ace Pro, o MBM_BitScan também é um aplicativo para Android, conhecido como BitScan no Google Play. Os dois apps se comunicam com a mesma infraestrutura de Comando e Controle (C2) que, por sua vez, interage com um servidor que se assemelha a uma legítima empresa japonesa de criptomoedas. O restante do conteúdo fraudulento é tratado em uma interface da web, dificultando o processo de detectá-lo como tal pelos revisores de código da plataforma.
É primordial que os usuários entendam que não existe almoço grátis e que devem desconfiar de qualquer transação suspeita e de enriquecimento fácil. Não se pode confiar em contatos virtuais de quem você não conhece pessoalmente, pois a ilusão romântica é uma técnica de engenharia social que vem trazendo diversas alternativas para que os golpistas, cada vez mais, atraiam novas vítimas.
Categorias