Pesquisadores identificaram um novo golpe no Brasil que combina apps falsos de vagas de emprego com fraude de financiamento de veículos. A descoberta é da Resonant, plataforma de Threat Intelligence da Tempest Security Intelligence.
O esquema usa a biometria facial das vítimas, coletada sob o pretexto de um processo seletivo, para assinar contratos de crédito em nome delas em até seis instituições financeiras diferentes.
smart_display
Nossos vídeos em destaque
Os criminosos criam páginas que imitam plataformas de recrutamento, algumas com marcas inventadas e outras abusando de nomes de empresas reais do setor, que também são vítimas do esquema. Não há nenhuma vulnerabilidade explorada nessas empresas. O objetivo é apenas convencer o usuário a preencher um cadastro e baixar o aplicativo.
Os sites têm aparência profissional. Pesquisadores apontam que os layouts parecem ter sido gerados com ajuda de inteligência artificial, o que facilita a criação em escala.
Após o download, o app exige que a conta seja aprovada pelos próprios golpistas antes de liberar o acesso. Isso não é por acaso. A aprovação manual serve para filtrar as vítimas e garantir que apenas alvos com perfil de interesse avancem no golpe.
O pedido da CNH não é aleatório
Com o acesso liberado, a vítima vê uma lista de vagas de emprego falsas. A maioria das ofertas é de trabalho em transporte e logística.
)
A escolha é premeditada, visto que os criminosos precisam de uma cópia da Carteira Nacional de Habilitação da vítima para solicitar o financiamento de veículo. Ao apresentar vagas em que a CNH é um requisito natural, o pedido do documento passa a parecer parte normal do processo seletivo.
O botão de “candidatar-se” às vagas não executa nenhuma ação real. Existe apenas para criar a ilusão de que a vítima está participando de uma seleção legítima.
A biometria é o núcleo do golpe
Depois de coletar o cadastro e os documentos, os operadores do esquema enviam uma notificação ao celular da vítima informando que uma “validação de segurança” é necessária para acessar o status da candidatura.
)
A vítima é direcionada para uma tela dentro do próprio app que solicita uma verificação por reconhecimento facial. O que ela não vê é o que está acontecendo por baixo.
O aplicativo está, na verdade, abrindo o site de uma instituição financeira dentro de uma janela embutida, chamada de WebView. A câmera não está verificando a identidade para o processo seletivo. Está concluindo uma autenticação biométrica para fechar um contrato de financiamento de veículo.
A página do banco some dos olhos da vítima
Para que a vítima não perceba o que está ocorrendo, o aplicativo usa scripts em JavaScript, que são pequenos programas que rodam diretamente no navegador, para alterar o visual da página bancária em tempo real.
)
Palavras como “financiamento”, porcentagens e condições contratuais são removidas ou substituídas por textos genéricos relacionados a processos seletivos e confirmação de identidade. O app chega a simular a aparência de uma página do BNE, o Banco Nacional de Empregos.
Enquanto isso, em segundo plano, o mesmo código preenche automaticamente os formulários do banco com os dados da vítima, aceita os termos do contrato e avança pelas etapas de aprovação sem nenhuma interação humana visível. O processo ocorre em segundos, enquanto o app exibe uma tela de carregamento.
Espionagem além do financiamento
A análise técnica da Resonant mostra que o aplicativo solicita uma série de permissões sensíveis no dispositivo. Entre elas estão acesso à câmera, gravação de áudio, rastreamento de localização e leitura de arquivos armazenados.
)
Essas permissões vão além do necessário para realizar o golpe do financiamento. Elas indicam capacidade de espionagem mais ampla, como captura de conversas e monitoramento da localização da vítima.
O app também se conecta ao Firebase Cloud Messaging, um serviço do Google usado para envio de notificações. Isso permite que os operadores controlem o aplicativo remotamente e disparem ações no celular da vítima sem que ela precise abrir o app.
Os pesquisadores identificaram pelo menos 19 versões do aplicativo malicioso e quatro endereços IP usados como servidores de controle do esquema, além de dez domínios registrados para hospedar as páginas falsas de recrutamento.
Os sites ligados à campanha identificados pela Resonant são:
- rhrecrutabrasil.com
- rhrprofissoes.com
- rhrecrutaprofissional.com
- recursoshumanosrecruta.com
- rhvalidacao.com
- rhrecrutaselecao.com
- selecaorhrecruta.com
- rhrecruta.net
- rhrecrutamento.net
- rhrecruta.site
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.