Cientistas descobriram um novo esquema que atrai pessoas para vagas de emprego fraudulentas, coleta documentos pessoais e utiliza reconhecimento facial para firmar contratos de crédito em instituições financeiras em nome das vítimas.
A investigação feita pela Resonant, plataforma de Threat Intelligence da Tempest Security Intelligence, revelou um golpe inovador no Brasil que combina aplicativos falsos de emprego com fraudes em financiamentos de veículos.
No esquema, a biometria facial das vítimas é coletada sob a alegação de um processo seletivo, permitindo que contratos de crédito sejam assinados em seu nome em até seis instituições financeiras distintas.
Nossos vídeos em destaque
Os golpistas criam sites que simulam plataformas de recrutamento, utilizando tanto marcas fictícias quanto nomes de empresas reais, que também se tornam vítimas do esquema. Não há vulnerabilidades exploradas nas referidas empresas; o foco é apenas convencer os usuários a preencher um cadastro e baixar o aplicativo.
Os sites apresentam um design profissional. De acordo com os pesquisadores, os layouts parecem ter sido criado com auxílio de inteligência artificial, facilitando a produção em larga escala.
Empresa brasileira teria sido alvo de ataques DDoS contra provedores nacionais, diz site
Após o download do aplicativo, a conta deve ser aprovada pelos próprios golpistas antes de liberar acesso, uma medida intencional que visa filtrar as vítimas e garantir que apenas alvos com um perfil específico avancem no golpe.
O pedido da CNH não é casual
Uma vez com o acesso liberado, a vítima é apresentada a uma lista de vagas de emprego que na verdade são falsas, principalmente nas áreas de transporte e logística.
A escolha desses empregos não é por acaso, já que os golpistas precisam da Carteira Nacional de Habilitação da vítima para solicitar o financiamento de veículo. Ao apresentar vagas que exigem a CNH, o pedido desse documento parece parte normal do processo de seleção.
O botão de “candidatar-se” não efetua nenhuma ação real, servindo apenas para criar a ilusão de que a vítima está participando de uma seleção válida.
Banco Central lança serviço gratuito para bloquear a abertura de contas em seu nome
A biometria é o cerne do golpe
Após coletar o cadastro e a documentação, os operadores do esquema enviam uma notificação ao telefone da vítima informando que uma “validação de segurança” é necessária para acessar o status da candidatura.
A vítima é redirecionada para uma tela dentro do aplicativo que solicita uma verificação de reconhecimento facial. O que ela não percebe é o que acontece nos bastidores.
O aplicativo, na verdade, está abrindo o site de uma instituição financeira dentro de uma janela embutida, chamada de WebView. A câmera não está verificando a identidade para o processo seletivo; ela está realizando uma autenticação biométrica para concluir um contrato de financiamento de veículo.
A página do banco desaparece para a vítima
Para evitar que a vítima perceba o que está acontecendo, o aplicativo utiliza scripts em JavaScript para alterar o visual da página bancária em tempo real.
Hackers norte-coreanos usaram o Claude para infectar pacote NPM com um vírus
Termos como “financiamento”, porcentagens e condições contratuais são removidos ou substituídos por mensagens genéricas relacionadas a processos seletivos e validação de identidade. O app chega a simular a aparência de uma página do BNE, o Banco Nacional de Empregos.
Enquanto isso, em segundo plano, o código pré-preenche automaticamente os formulários do banco com os dados da vítima, aceita os termos do contrato e avança nas etapas de aprovação sem qualquer interação humana visível, tudo em questão de segundos, enquanto o aplicativo exibe uma tela de carregamento.
Espionagem além do financiamento
A análise técnica da Resonant revela que o aplicativo solicita diversas permissões sensíveis no dispositivo, como acesso à câmera, gravação de áudio, rastreamento de localização e leitura de arquivos.
Essas permissões vão além do que seria necessário para realizar a fraude do financiamento, sugerindo um potencial de espionagem, como a captura de conversas e monitoramento da localização da vítima.
Pacote Python com milhões de usuários foi infectado por uma falha no GitHub
O aplicativo também se conecta ao Firebase Cloud Messaging, um serviço do Google que permite enviar notificações. Isso possibilita que os golpistas controlem o aplicativo remotamente e executem ações no celular da vítima sem que ela precise abrir o app.
Os pesquisadores identificaram pelo menos 19 versões do aplicativo malicioso, quatro endereços IP usados como servidores de controle do esquema e dez domínios registrados para hospedar as páginas falsas de recrutamento.
Os sites relacionados à operação fraudulenta que foram descobertos pela Resonant incluem:
- rhrecrutabrasil.com
- rhrprofissoes.com
- rhrecrutaprofissional.com
- recursoshumanosrecruta.com
- rhvalidacao.com
- rhrecrutaselecao.com
- selecaorhrecruta.com
- rhrecruta.net
- rhrecrutamento.net
- rhrecruta.site
Acompanhe o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal no YouTube.