A Sophos revelou novas descobertas sobre esquemas CryptoRom, nos quais criminosos aplicam golpes de fraude financeira em usuários de aplicativos de relacionamento e os influenciam a fazer falsos investimentos em criptomoedas. O relatório, intitulado “Fraudulent ‘CryptoRom’ trading apps sneak into Apple and Google app stores”, detalha a identificação dos primeiros apps falsos, como Ace Pro e MBM_BitScan, que conseguiram contornar os rígidos protocolos de segurança da Apple. Anteriormente, cibercriminosos usavam técnicas alternativas para convencer as vítimas a baixarem aplicativos ilegítimos que não eram autorizados pela plataforma. A Sophos notificou a Apple e o Google e, desde então, ambas as lojas removeram os apps clandestinos.
“Em geral, é difícil conseguir que malwares passem pelos processos de segurança da Apple App Store. Por isso, quando começamos a investigar os golpes do CryptoRom que visavam usuários de iOS, os hackers tinham que persuadir as pessoas a, antes de mais nada, instalar um perfil de configuração, para depois baixar o aplicativo falso. Isso envolve um nível adicional de engenharia social – que é difícil de ser superado. Muitas das potenciais vítimas foram ‘alertadas’ de que algo estava errado, visto que não conseguiam baixar um app supostamente legítimo diretamente da loja mas, por estar dentro da App Store, os golpistas aumentaram seu grupo de possíveis vítimas, particularmente porque a maioria dos usuários confia na Apple”, afirma Jagadeesh Chandraiah, senior threat researcher da Sophos. “Tais aplicativos também não foram afetados pelo novo modo de bloqueio do iOS, que deveria impedir que invasores carregassem perfis móveis para engenharia social. Na verdade, estes criminosos do CryptoRom estão mudando suas táticas, ou seja, se concentrando em contornar o processo de revisão da App Store, diante dos recursos de segurança do Lockdown, formato de bloqueio da plataforma”.
Para atrair a vítima que foi enganada por meio do Ace Pro, por exemplo, os golpistas criaram e mantiveram ativo um perfil falso no Facebook, com a persona de uma mulher vivendo, supostamente, um estilo de vida luxuoso em Londres. Depois de construir um relacionamento com a vítima, eles sugeriram que ela baixasse o app Ace Pro e investisse na suposta criptomoeda ofertada.
O Ace Pro é descrito na loja de aplicativos como um scanner de QR code, mas é uma plataforma falsa de investimentos em criptomoedas. Uma vez aberta, os usuários vêem uma interface de negociação em que supostamente podem depositar e retirar moedas – entretanto, qualquer dinheiro depositado vai diretamente para os golpistas. Para passar pela segurança da App Store, a Sophos apontou que os atacantes tinham o app conectado a um site remoto com funcionalidade legítima quando este foi originalmente submetido para revisão, o que incluía um QR Code, para que parecesse realmente autêntico para os revisores. Entretanto, uma vez aprovado, os hackers o redirecionavam para um domínio registrado na Ásia que, por fim, enviava um pedido que corresponde a um conteúdo de outro host, que redirecionava para a página da fraude.
Assim como o Ace Pro, o MBM_BitScan também é um aplicativo para Android, conhecido como BitScan no Google Play. Os dois apps se comunicam com a mesma infraestrutura de Comando e Controle (C2) que, por sua vez, interage com um servidor que se assemelha a uma legítima empresa japonesa de criptomoedas. O restante do conteúdo fraudulento é tratado em uma interface da web, dificultando o processo de detectá-lo como fraudulento pelos revisores de código da plataforma.
Já o subconjunto de esquemas conhecidos como sha zhu pan (杀猪盘) – na tradução literal, o “prato de carne de porco” – é uma operação de golpes bem organizados e sindicalizados, que usam uma combinação de engenharia social focada em romance, movimentações de criptomoedas fraudulentas e websites para atrair as vítimas e roubar dinheiro, após ganhar a sua confiança. Há dois anos a Sophos tem rastreado e relatado esses golpes que arrecadam milhões de dólares.
