Campanha de phishing pode virar negócio internacional após descoberta no Irã

Um erro de um cibercriminoso iraniano levou à descoberta de uma rede de phishing via SMS altamente viral, com mais de US$ 100 mil desviados de cidadãos iranianos e, acima disso, transformação em modelo de negócios com possível alcance internacional. A rede foi localizada em dezembro do ano passado e segue ativa, principalmente, em operações que envolvem o roubo de credenciais e pagamentos indevidos.

• Maior botnet do mundo rouba milhões de dólares com um simples golpe
• Como identificar golpes via SMS

O método é conhecido, enquanto a simplicidade das ferramentas permite ampla adaptação para diferentes métodos; inicialmente, os criminosos tentam se passar por agências governamentais iranianas, mas já foram descobertas variações envolvendo sites de namoro e lojas online populares no Irã. Mais do que isso, também se criou uma rede na qual a praga é vendida por valores de US$ 50 a US$ 150, ou cerca de R$ 270 a R$ 800, em conversão direta.

Shmuel Cohen, pesquisador de segurança da Check Point Research e um dos responsáveis por revelar a campanha, também aponta um esquema semelhante ao do ransomware como serviço. As soluções podem ser adaptada ao gosto dos fregueses, com painéis de controle simples para consulta de dados furtados e realização de atividades criminosas. Não há exigência de conhecimento técnico, enquanto as ferramentas estão disponíveis tanto em farsi, o idioma local, quanto o inglês, propiciando sua expansão internacional.

“Esse modelo de negócios está se mostrando bem-sucedido no Irã. Com a simplicidade das ferramentas e o amplo alcance, não é surpreendente o crescimento, que também deve ser visto em outros países”, aponta o especialista. De acordo com o levantamento da Check Point, dezenas de milhares de cidadãos iranianos foram atingidos pelos golpes nos últimos meses de 2021, com uma única campanha, de várias em andamento, registrando mais de mil downloads do malware em apenas 10 dias.

Phishing, pressão e uma pequena taxa

A principal campanha envolve o uso de mensagens fraudulentas via SMS, que tentam se passar por um serviço do poder judiciário iraniano para servir intimações de forma digital. O usuário recebe uma notificação desse tipo e é levado a um site falso, simulando a interface real dos sistemas do governo, onde deve preencher informações pessoais já que as unidades de atendimento presencial estão com atendimento limitado por conta da pandemia da covid-19.

Daí, as vítimas são levadas ao download de um aplicativo malicioso para o sistema operacional Android e, também, ao pagamento de uma taxa equivalente a US$ 1 na moeda local. A interface simula a oficial, assim como o procedimento em si, aumentando a aparência de legitimidade. Apesar de não recusarem a transferência financeira, o foco dos bandidos, a partir de agora, é obter acesso às informações pessoais e bancárias.

O malware entregue por meio da campanha é capaz de se esconder no sistema, ocultando o próprio ícone e pedindo poucas permissões, enquanto obtém acesso às mensagens de SMS e a credenciais salvas em navegadores. Assim, os criminosos podem obter acesso a sistemas bancários e, também, a códigos de autenticação em duas etapas.

De acordo com Cohen, variações mais avançadas das ferramentas também possuem a capacidade de executar códigos remotamente, a partir de um bot no Telegram, além de obter informações da área de transferência e demais detalhes dos smartphones contaminados. Ainda, os bandidos podem utilizar um sistema de comunicação entre apps fornecido pela Firebase para criar uma rede de robôs, com smartphones comprometidos, ou enviar mensagens em nome das vítimas para levar a onda de contaminações adiante.

O resultado, de acordo com o especialista, são contas bancárias esvaziadas em minutos, em caso bem-sucedido, e prejuízos de centenas de milhares de dólares, tanto no pagamento das taxas falsas quanto no comprometimento de apps financeiros. Além disso, os dados das vítimas são compilados e revendidos em grupos no Telegram, ampliando ainda mais a capacidade de monetização da campanha.

Como a campanha de phishing foi descoberta

Foi nessa etapa, inclusive, que aconteceu a descoberta do esquema, depois da localização de um servidor desprotegido onde as informações pessoais das vítimas eram catalogadas. A partir destes dados, os especialistas da Check Point foram capazes de chegar à infraestrutura por trás dos golpes e descobrir todo o funcionamento dele.

Um jovem de 17 anos, sozinho e usando as ferramentas fornecidas pelos criminosos, teria sido o responsável por contaminar 600 smartphones usando o método. Ele foi preso em setembro pela polícia iraniana e apontado como um dos principais operadores do esquema, sendo responsável pelo roubo de mais de US$ 18,9 mil, valor equivalente a mais de R$ 97 mil.

Ainda assim, a campanha segue em andamento e, aparentemente, ganhando mais e mais adeptos em território iraniano. A preocupação, como dito, é quanto à expansão internacional do esquema e, também, o uso das botnets criadas a partir das contaminações para novos ataques, principalmente contra o setor corporativo.

Fonte: Check Point