A Sophos divulgou novas descobertas sobre esquemas CryptoRom – fraudes financeiras elaboradas que atacam e enganam utilizadores de aplicações de encontros para que façam investimentos falsos em criptomoedas.
O relatório “Fraudulent Trading Apps Sneak into Apple and Google App Stores“ entra em detalhe sobre as primeiras aplicações falsas CryptoRom — Ace Pro e MBM_BitScan — a conseguir contornar com sucesso os rígidos protocolos de segurança da Apple.
Antes, os cibercriminosos utilizavam técnicas alternativas para convencer as vítimas a descarregar aplicações para iPhone ilegítimas, que não estavam aprovadas pela App Store da Apple. A Sophos notificou de imediato a Apple e a Google, que removeram as aplicações fraudulentas das suas plataformas.
“De forma geral, é difícil conseguir que o malware contorne o processo de análise de segurança da Apple App Store. Era por isso que, num primeiro momento dos esquemas CryptoRom direcionados a utilizadores iOS, os criminosos tinham de persuadir os utilizadores a instalar uma falsa aplicação de negociação de criptomoedas. Isto envolve, obviamente, um nível adicional de engenharia social – e um nível que é difícil de superar. Muitas potenciais vítimas percebiam que algo estava errado quando não podiam descarregar diretamente uma aplicação supostamente legítima. Ao colocar uma aplicação na App Store, os criminosos aumentaram muito o seu número de possíveis vítimas, principalmente porque a maioria dos utilizadores confia inerentemente na Apple,” comentou Jagadeesh Chandraiah, Senior Threat Researcher da Sophos.
Num exemplo de uma vítima enganada através da aplicação Ace Pro, os criminosos criaram e mantiveram ativamente um perfil de Facebook falso e a persona de uma mulher que supostamente vivia de forma luxuosa em Londres. Depois de construir um relacionamento com a vítima, sugeriram que descarregasse a aplicação falsa e deram continuidade à fraude de investimento em criptomoedas a partir daí.
A Ace Pro é descrita na App Store como um leitor de códigos QR, mas na realidade é uma plataforma fraudulenta de trading de criptomoedas. Uma vez aberta, os utilizadores veem uma interface de negociação onde supostamente podem depositar e retirar fundos; no entanto, qualquer montante depositado vai diretamente para os criminosos. Para ultrapassar a segurança da App Store, a Sophos acredita que estes conectaram a aplicação a um website remoto cuja funcionalidade era benigna quando foi originalmente enviado para análise. O domínio incluía códigos para a digitalização de QR para o tornar legítimo aos olhos dos revisores de aplicações. No entanto, assim que a aplicação foi aprovada, foi redirecionada para um domínio registado na Ásia, com conteúdo de outro host que, finalmente, levava à interface de negociação falsa.
Para além da App Store, a aplicação MBM_BitScan existe também para Android, sendo conhecida como BitScan no Google Play. As duas comunicam com a mesma infraestrutura de Comando e Controlo (C2), que por sua vez comunica com um servidor que se parece com uma empresa japonesa de criptomoedas legítima. Tudo o que era malicioso acontecia numa interface da web, sendo por isso difícil para os revisores de código do Google Play detetá-la como fraudulenta.
Os esquemas CryptoRom, um subconjunto da família de fraudes conhecida como sha zhu pan – na tradução literal, “matança do porco” –, são operações enganosas bem organizadas e sindicalizadas que utilizam uma combinação de engenharia social centrada no romance e aplicações falsas de negociação de criptomoedas, para atrair vítimas e roubar o seu dinheiro depois de lhes ganhar a confiança. Há dois anos que a Sophos acompanha e reporta estes golpes, que já colheram milhões de dólares.
