A Sophos, empresa global de soluções de cibersegurança, divulgou novas descobertas sobre esquemas CryptoRom – fraudes financeiras elaboradas que atacam e enganam utilizadores de aplicações de encontros, para que façam investimentos falsos em criptomoedas. Os aplicativos estavam disponíveis na Apple Store, sinal que os cibercriminosos conseguiram violar as normas de segurança da Apple.
O relatório “Fraudulent Trading Apps Sneak into Apple and Google App Stores” entra em detalhe sobre as primeiras aplicações falsas CryptoRom — Ace Pro e MBM_BitScan — a conseguir contornar com sucesso os rígidos protocolos de segurança da Apple.
Antes, os cibercriminosos utilizavam técnicas alternativas para convencer as vítimas a descarregar aplicações para iPhone ilegítimas, que não estavam aprovadas pela App Store da Apple. Agora a Sophos identificou e notificou de imediato a Apple e a Google, para removeram as aplicações fraudulentas das suas plataformas que conseguiram passar os protocolos de segurança das duas empresas.
“De forma geral, é difícil conseguir que o malware contorne o processo de análise de segurança da Apple App Store. Era por isso que, num primeiro momento dos esquemas CryptoRom direcionados a utilizadores iOS, os criminosos tinham de persuadir os utilizadores a instalar uma falsa aplicação de negociação de criptomoedas. Isto envolve, obviamente, um nível adicional de engenharia social – e um nível que é difícil de superar”, destaca Jagadeesh Chandraiah, Senior Threat Researcher da Sophos.
“Muitas potenciais vítimas percebiam que algo estava errado quando não podiam descarregar diretamente uma aplicação supostamente legítima. Ao colocar uma aplicação na App Store, os criminosos aumentaram muito o seu número de possíveis vítimas, principalmente porque a maioria dos utilizadores confia inerentemente na Apple”, explicou.
“Estas duas aplicações que encontrámos também não são afetados pelo novo modo Lockdown do iOS, que impede que os cibercriminosos carreguem perfis mobile úteis para engenharia social. De facto, os criminosos de CryptoRom podem estar a mudar as suas táticas – ou seja, a focar-se em contornar o processo de revisão da App Store – precisamente devido às funcionalidades de segurança do novo modo Lockdown.”
Num exemplo de uma vítima enganada através da aplicação Ace Pro, os criminosos criaram e mantiveram ativamente um perfil de Facebook falso e a persona de uma mulher que supostamente vivia de forma luxuosa em Londres. Depois de construir um relacionamento com a vítima, sugeriram que descarregasse a aplicação falsa e deram continuidade à fraude de investimento em criptomoedas a partir daí.
A Ace Pro é descrita na App Store como um leitor de códigos QR, mas na realidade é uma plataforma fraudulenta de trading de criptomoedas. Uma vez aberta, os utilizadores veem uma interface de negociação onde supostamente podem depositar e retirar fundos; no entanto, qualquer montante depositado vai diretamente para os criminosos.
Para ultrapassar a segurança da App Store, a Sophos acredita que estes conectaram a aplicação a um website remoto cuja funcionalidade era benigna quando foi originalmente enviado para análise. O domínio incluía códigos para a digitalização de QR para o tornar legítimo aos olhos dos revisores de aplicações. No entanto, assim que a aplicação foi aprovada, foi redirecionada para um domínio registado na Ásia, com conteúdo de outro host que, finalmente, levava à interface de negociação falsa.
Para além da App Store, a aplicação MBM_BitScan existe também para Android, sendo conhecida como BitScan no Google Play. As duas comunicam com a mesma infraestrutura de Comando e Controlo (C2), que por sua vez comunica com um servidor que se parece com uma empresa japonesa de criptomoedas legítima. Tudo o que era malicioso acontecia numa interface da web, sendo por isso difícil para os revisores de código do Google Play detetá-la como fraudulenta.
Os esquemas CryptoRom são operações enganosas bem organizadas e sindicalizadas que utilizam uma combinação de engenharia social centrada no romance e aplicações falsas de negociação de criptomoedas, para atrair vítimas e roubar o seu dinheiro depois de lhes ganhar a confiança.