Aplicativo falso rouba biometria de vítimas em golpe para financiar veículos

05 maio Aplicativo falso rouba biometria de vítimas em golpe para financiar veículos

Posted at 13:00h in Tech-Pt-br by

Pesquisadores identificaram um novo golpe no Brasil que combina apps falsos de vagas de emprego com fraude de financiamento de veículos. A descoberta é da Resonant, plataforma de Threat Intelligence da Tempest Security Intelligence.

O esquema usa a biometria facial das vítimas, coletada sob o pretexto de um processo seletivo, para assinar contratos de crédito em nome delas em até seis instituições financeiras diferentes.

Os criminosos criam páginas que imitam plataformas de recrutamento, algumas com marcas inventadas e outras abusando de nomes de empresas reais do setor, que também são vítimas do esquema. Não há nenhuma vulnerabilidade explorada nessas empresas. O objetivo é apenas convencer o usuário a preencher um cadastro e baixar o aplicativo.

Site falso de recrutamento coleta nome completo, e-mail, telefone e CPF da vítima antes de redirecioná-la para o download do aplicativo malicioso. Imagem: Resonant.

Os sites têm aparência profissional. Pesquisadores apontam que os layouts parecem ter sido gerados com ajuda de inteligência artificial, o que facilita a criação em escala.

Após o download, o app exige que a conta seja aprovada pelos próprios golpistas antes de liberar o acesso. Isso não é por acaso. A aprovação manual serve para filtrar as vítimas e garantir que apenas alvos com perfil de interesse avancem no golpe.

O pedido da CNH não é aleatório

Com o acesso liberado, a vítima vê uma lista de vagas de emprego falsas. A maioria das ofertas é de trabalho em transporte e logística.

Dois dos aplicativos identificados na campanha: “RH Recruta” e “Rede Empregos”, que abusam de marcas conhecidas como Catho e InfoJobs para parecerem legítimos. Imagem: Resonant.

A escolha é premeditada, visto que os criminosos precisam de uma cópia da Carteira Nacional de Habilitação da vítima para solicitar o financiamento de veículo. Ao apresentar vagas em que a CNH é um requisito natural, o pedido do documento passa a parecer parte normal do processo seletivo.

O botão de “candidatar-se” às vagas não executa nenhuma ação real. Existe apenas para criar a ilusão de que a vítima está participando de uma seleção legítima.

A biometria é o núcleo do golpe

Depois de coletar o cadastro e os documentos, os operadores do esquema enviam uma notificação ao celular da vítima informando que uma “validação de segurança” é necessária para acessar o status da candidatura.

Interface do aplicativo malicioso exibe vagas fictícias em transporte e logística para justificar o pedido da CNH, documento necessário para fechar o financiamento fraudulento. Imagem: Resonant.

A vítima é direcionada para uma tela dentro do próprio app que solicita uma verificação por reconhecimento facial. O que ela não vê é o que está acontecendo por baixo.

O aplicativo está, na verdade, abrindo o site de uma instituição financeira dentro de uma janela embutida, chamada de WebView. A câmera não está verificando a identidade para o processo seletivo. Está concluindo uma autenticação biométrica para fechar um contrato de financiamento de veículo.

A página do banco some dos olhos da vítima

Para que a vítima não perceba o que está ocorrendo, o aplicativo usa scripts em JavaScript, que são pequenos programas que rodam diretamente no navegador, para alterar o visual da página bancária em tempo real.

App solicita endereço completo e, em seguida, exige o envio da CNH sob o pretexto de localizar vagas na região da vítima. Imagem: Resonant.

Palavras como “financiamento”, porcentagens e condições contratuais são removidas ou substituídas por textos genéricos relacionados a processos seletivos e confirmação de identidade. O app chega a simular a aparência de uma página do BNE, o Banco Nacional de Empregos.

Enquanto isso, em segundo plano, o mesmo código preenche automaticamente os formulários do banco com os dados da vítima, aceita os termos do contrato e avança pelas etapas de aprovação sem nenhuma interação humana visível. O processo ocorre em segundos, enquanto o app exibe uma tela de carregamento.

Espionagem além do financiamento

A análise técnica da Resonant mostra que o aplicativo solicita uma série de permissões sensíveis no dispositivo. Entre elas estão acesso à câmera, gravação de áudio, rastreamento de localização e leitura de arquivos armazenados.

Tela de verificação biométrica exibida pelo aplicativo malicioso: por baixo da interface falsa, o golpe usa o rosto da vítima para autenticar um financiamento de veículo em instituição financeira real. Imagem: Resonant.

Essas permissões vão além do necessário para realizar o golpe do financiamento. Elas indicam capacidade de espionagem mais ampla, como captura de conversas e monitoramento da localização da vítima.

O app também se conecta ao Firebase Cloud Messaging, um serviço do Google usado para envio de notificações. Isso permite que os operadores controlem o aplicativo remotamente e disparem ações no celular da vítima sem que ela precise abrir o app.

Os pesquisadores identificaram pelo menos 19 versões do aplicativo malicioso e quatro endereços IP usados como servidores de controle do esquema, além de dez domínios registrados para hospedar as páginas falsas de recrutamento.

Os sites ligados à campanha identificados pela Resonant são:

rhrecrutabrasil.comrhrprofissoes.comrhrecrutaprofissional.comrecursoshumanosrecruta.comrhvalidacao.comrhrecrutaselecao.comselecaorhrecruta.comrhrecruta.netrhrecrutamento.netrhrecruta.site

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.