Aplicaciones fraudulentas se están colando en las tiendas de aplicaciones de Apple y Google

El año pasado, surgió un nuevo término para describir una estafa en línea que recauda millones , sino miles de millones, de dólares por año. La estafa se llama “carnicería de cerdos” (pig butchering), y ahora incluso Apple está siendo engañada para que participe.

Investigadores de la firma de seguridad Sophos dijeron el miércoles que descubrieron dos aplicaciones disponibles en la App Store que formaban parte de una elaborada red de herramientas. Estas son utilizadas para engañar a las personas para que inviertan grandes sumas de dinero en estafas de inversiones falsas. Al menos una de esas aplicaciones también llegó a Google Play, pero ese mercado es conocido por la cantidad de aplicaciones maliciosas que pasan por alto la revisión de Google. Sophos dijo que esta era la primera vez que veía tales aplicaciones en la App Store y que una aplicación anterior identificada en este tipo de estafas era legítima y luego fue explotada por personas malintencionadas.

Carnicería de cerdos, la estafa

Pig butchering se basa en una rica combinación de aplicaciones, sitios web, servidores web y humanos, en algunos casos víctimas de la trata de personas. Esto para generar confianza con una persona durante un período de semanas o meses, a menudo bajo la apariencia de un interés romántico, asesor financiero, o inversionista exitoso. 

Eventualmente, la discusión en línea se centra en inversiones, generalmente relacionadas con criptomonedas, de las que el estafador afirma haber ganado grandes sumas de dinero. Luego, el estafador invita a la víctima a participar.

Una vez que la persona deposita dinero, los estafadores inicialmente le permiten realizar retiros. Los estafadores finalmente bloquean la cuenta y afirman que necesitan un depósito de hasta el 20 por ciento de su saldo para recuperarla. Incluso cuando se paga el depósito, el dinero no se devuelve y los estafadores inventan nuevas razones para que la víctima envíe más dinero. El término carnicería de cerdos se deriva de un granjero que engorda un cerdo meses antes de sacrificarlo.

Abuso de confianza en la App Store

Sophos dijo que recientemente encontró dos aplicaciones de iOS en la App Store que se usaron para CryptoRom, un tipo de carnicería de cerdos que utiliza propuestas románticas para generar confianza en sus víctimas. La primera se llamaba Ace Pro y decía ser una aplicación para escanear códigos QR.

La segunda aplicación fue MBM_BitScan, que se presentó como un rastreador de datos en tiempo real de criptomonedas. Una víctima que Sophos rastreó depositó alrededor de $4,000 en la aplicación antes de darse cuenta de que era falsa.

Apple es famosa por su reputación, justificada o no, de filtrar aplicaciones maliciosas antes de que terminen en la App Store. Combinado con perfiles en línea falsos detallados y antecedentes elaborados que los estafadores usan para atraer a las víctimas, la presencia de las aplicaciones en la App Store hizo que la artimaña fuera aún más convincente.

“Si los delincuentes pueden pasar estos controles, tienen el potencial de llegar a millones de dispositivos. Esto es lo que lo hace más peligroso para las víctimas de CryptoRom, ya que es más probable que la mayoría de esos objetivos confíen en la fuente si proviene de la tienda oficial de aplicaciones de Apple”.

Investigadores de Sophos

Respuesta de Apple y Google

Los representantes de Apple no respondieron a un correo electrónico solicitando una entrevista para esta nota. En un comunicado, que el representante proporcionó con la condición de que fuera en segundo plano, la compañía dijo que una de las aplicaciones enviadas proporcionaba escaneo QR y la otra seguimiento de criptomonedas. Una vez que salió a la luz el cebo y el cambio, Apple las eliminó. El representante también citó un estudio reciente que encontró que App Store detuvo casi $1.5 mil millones en transacciones fraudulentas en 2021 y evitó que más de 1.6 millones de aplicaciones y actualizaciones de aplicaciones riesgosas y poco confiables defraudaran a los usuarios ese año. 

Google PR también rechazó una entrevista, pero dijo en un correo electrónico que la compañía eliminó la aplicación después de recibir un aviso de Sophos.

Técnicas evasivas

Ace Pro y MBM_BitScan sortearon el proceso de investigación de antecedentes de Apple mediante el uso de contenido remoto descargado de direcciones web codificadas para ofrecer su funcionalidad maliciosa. Cuando Apple estaba revisando las aplicaciones, los sitios probablemente entregaban contenido benigno. Eventualmente, eso cambió.

Ace Pro, por ejemplo, comenzó a enviar una solicitud al dominio rest.apizza[.]net, que luego respondía con contenido de acedealex[.]xyz, que mostraba la interfaz comercial falsa. MBN_BitScan usó un servidor alojado por Amazon, que a su vez llamó a flyerbit8[.]com, un dominio diseñado para parecerse al servicio legítimo de Bitcoin bitFlyer.

El proceso se veía así:

La interfaz falsa parecía permitir a los usuarios depositar y retirar dinero y atender solicitudes de servicio al cliente en tiempo real. Para que las víctimas comenzaran, los estafadores les indicaron que transfirieran dinero a Binance. Y, desde allí, de Binance a la aplicación falsa.

Guiones preescritos, pasaportes confiscados y violencia

La estructura organizativa de los estafadores también es elaborada. Después de surgir en China y Taiwán y experimentar el éxito, las autoridades chinas finalmente tomaron medidas enérgicas. Algunas de las bandas huyeron a Camboya y otros pequeños países del sudeste asiático.

Los grupos policiales chinos que han atacado a los estafadores de CryptoRom dicen que los estafadores imitan una estructura corporativa. En la parte superior, hay una oficina central que supervisa la operación y lava los ingresos. En el medio hay un franquiciado o afiliado con el que tiene contrato la oficina central. El franquiciado supervisa el siguiente nivel hacia abajo. Este nivel incluye una recepción para manejar la logística, como el tráfico de personas y la administración del sitio, un equipo de tecnología para ejecutar sitios web y aplicaciones, y un equipo de finanzas para manejar las operaciones financieras locales.

En la parte inferior están los teclistas, que son los que hacen la mayoría de las interacciones con las víctimas.

Los investigadores de Sophos explicaron:

Durante la pandemia de COVID-19, muchos países subdesarrollados no tenían empleos ni prestaciones sociales suficientes para apoyar a los afectados por las perturbaciones económicas. Esto empujó a muchos jóvenes a aceptar ofertas de trabajo en zonas económicas especiales de otros países que prometían salarios altos. Muchos de estos fueron ofertas de trabajo fraudulentas vinculadas a redes de carnicería de cerdos. Cuando llegaban los trabajadores, eran transportados a los centros de CryptoRom y se les confiscaban los pasaportes.

A menudo, los teclistas son víctimas de trata, traídos de países como China, Malasia e India con la promesa de trabajos mejor pagados. Están capacitados con guiones preescritos con instrucciones sobre cómo interactuar, qué decirles a sus víctimas y cómo atraerlas a invertir. Si quieren irse o no siguen el guión, se dice que son objeto de violencia.

Precauciones

Es fácil leer los detalles de estas estafas y preguntarse cómo alguien podría caer en ellas. Sophos y otros expertos afirman que las víctimas suelen tener una buena educación, algunas con doctorados. Algunas de las técnicas responsables del éxito incluyen la duración del compromiso que los estafadores tienen con las víctimas y la prueba de que es posible un retiro inicial.

En combinación con la vulnerabilidad emocional de algunas víctimas, el auge de las finanzas basadas en aplicaciones y el papel involuntario que desempeñan empresas como Apple y Google, estas y otras técnicas han demostrado su eficacia.