Desde o início de 2021 que a Sophos tem vindo a seguir a CryptoRom, uma campanha de crime organizado que, depois de se centrar inicialmente em vítimas na Ásia, expandiu-se a mais territórios.

A campanha passa por um esquema fraudulento de trading de criptomoedas que tem como alvo utilizadores dos sistemas operativos iOS e Android através de aplicações populares de encontros como o Bumble e o Tinder.

“Esta ameaça é ainda muito ativa e continua a causar vítimas um pouco por todo o mundo, custando-lhes em alguns casos todas as suas poupanças”, sublinham os investigadores, acrescentando que a operação está cada vez mais organizada e sofisticada.

Como funciona a CryptoRom?

“O golpe CryptoRom é uma fraude financeira centrada no romance, que depende muito da engenharia social em quase todas as suas fases,” explica Jagadeesh Chandraiah, Senior Threat Researcher da Sophos, citado em comunicado.

De acordo com o especialista, os cibercriminosos começam por atraem os seus alvos através de perfis falsos em plataformas de encontros legítimas. A partir daí, tentam persuadi-los a instalar uma aplicação falsa de trading de criptomoedas.

Segundo a Sophos, existem casos de vítimas que, quando tentaram retirar os seus investimentos dos falsos esquemas de trading, viram as suas contas congeladas, sendo-lhes cobrados montantes de até centenas de milhares de dólares em falsos “impostos de lucro” para que pudessem recuperar o acesso.

De acordo com as vítimas do golpe que contactaram a Sophos, os “impostos de lucro” só eram mencionados quando tentavam retirar os seus fundos ou fechar as contas. Além disso, às vítimas que têm dificuldade para pagar o imposto é oferecido um suposto empréstimo, com websites falsos que prometem ajudá-las a recuperar o dinheiro perdido.

A Sophos também encontrou alguns casos em que os atacantes abordavam os alvos diretamente através do WhatsApp e ou por SMS, utilizando informações roubadas.

Como evolui a campanha?

 Os investigadores têm detetado novos técnicos da campanha CryptoRom. Os atacantes estão a utilizar indevidamente a funcionalidade TestFlight da Apple, que permite que um grupo limitado de pessoas instale e teste uma nova app iOS e passe por um processo de revisão menos rigoroso.  Ainda em 2021 a Sophos tinha registado que o CryptoRom utilizou indevidamente o Super Signature para iOS e o Programa Empresarial da Apple.

Todos os websites relacionados com o CryptoRom que estavam a ser usados pelos cibercriminosos apresentavam uma estrutura e conteúdo de back-end muito semelhantes, e apenas os nomes das marcas, os ícones e os URLs eram diferentes.

Os especialistas acreditam que a prática permite que os atacantes alterem rapidamente os websites que utilizam para a eventualidade de um deles ser detetado e desativado.

“É profundamente preocupante que as pessoas continuem a cair nestes esquemas criminosos, principalmente porque a utilização de transações estrangeiras e mercados de criptomoedas não regulados significa que as vítimas não têm proteção legal em relação aos fundos que investem,” afirma Jagadeesh Chandraiah.

“Esta é uma questão que atinge toda a indústria e que não vai desaparecer. Precisamos de uma resposta coletiva que inclua a rastreabilidade das transações de criptomoedas, alertando os utilizadores para estes golpes, e detetando e removendo rapidamente os perfis falsos que permitem este tipo de fraude”, enfatiza.

Para evitar cair na “armadilha” dos cibercriminosos, a Sophos recomenda a todos os utilizadores que instalem apenas aplicações nas lojas oficial da Apple e da Google e que instalem soluções de segurança nos seus equipamentos.