Scam

Descobrindo a campanha fraudulenta do Lounge Pass: ladrão de SMS para Android alvo atacando viajantes aéreos

A equipe de pesquisa de ameaças da CloudSEK descobriu um golpe sofisticado direcionado a viajantes aéreos em aeroportos indianos. A fraude envolve um aplicativo Android malicioso chamado Lounge Pass, distribuído por meio de domínios falsos, como loungepass.in. Este aplicativo intercepta e encaminha secretamente mensagens SMS dos dispositivos das vítimas para os cibercriminosos, resultando em perdas financeiras significativas. A investigação revelou que, entre julho e agosto de 2024, mais de 450 viajantes instalaram o aplicativo fraudulento sem saber, resultando em um roubo relatado de mais de INR 9 lakhs (aproximadamente $11.000). Os golpistas exploraram um endpoint exposto do Firebase para armazenar mensagens SMS roubadas. Por meio de análise de domínio e dados passivos de DNS, os pesquisadores identificaram vários domínios relacionados espalhando APKs semelhantes. As principais recomendações incluem baixar aplicativos somente de lojas oficiais, evitar a leitura de códigos QR aleatórios e nunca conceder acesso por SMS a aplicativos de viagens ou lounges. Os viajantes devem reservar o acesso ao lounge por meio dos canais oficiais e ficar atentos para proteger seus dados pessoais. Fique atualizado sobre os golpes mais recentes e proteja seus dados de viagem seguindo estas diretrizes.

October 25, 2024

min

Tabela de conteúdo

Exemplo H2

Sumário executivo

A equipe de pesquisa de ameaças da CloudSEK descobriu um golpe sofisticado que visa viajantes aéreos por meio de um aplicativo Android fraudulento chamado 'Passe Lounge'. A investigação começou após uma mídia social viral publicar no X (antigo Twitter) detalhou como uma mulher foi vítima do golpe no aeroporto de Bangalore.

Ao contrário dos ladrões de SMS típicos, que geralmente se disfarçam de pedidos bancários ou de empréstimos, essa campanha tem como alvo específico os viajantes do aeroporto. O aplicativo malicioso, uma vez instalado, captura e encaminha secretamente todas as mensagens SMS recebidas do dispositivo da vítima para os golpistas.

Por meio de uma extensa investigação do OSINT (Open Source Intelligence), a equipe de pesquisa identificou vários domínios associados ao golpe em diferentes TLDs. Ao analisar o APK com engenharia reversa, os pesquisadores descobriram um descuido crítico: os golpistas expuseram acidentalmente seu endpoint Firebase, que estava sendo usado para armazenar todas as mensagens SMS interceptadas das vítimas.

‍

A análise dos dados expostos revelou o escopo devastador desse golpe:

Entre julho e agosto de 2024, cerca de 450 viajantes desavisados instalaram o aplicativo malicioso.
As mensagens SMS interceptadas pintaram um quadro sombrio, mostrando que os golpistas haviam roubado com sucesso INR 9 lakhs (aproximadamente $11.000) de suas vítimas durante esse breve período.
Esse número provavelmente representa apenas uma parte do total de danos, pois inclui apenas os casos documentados vinculados ao endpoint exposto encontrado no código do ladrão de SMS durante o período analisado.

‍

*APKs semelhantes com o nome: LOUNGPASS distribuídos nesta campanha*

‍

Análise e atribuição

Informações do X Post

Com base no vídeo, observamos que a URL (loungepass.in) para baixar o APK foi compartilhada via WhatsApp. Além disso, as capturas de tela do WhatsApp revelaram o título VERIFICAÇÃO DE ACESSO AO LOUNGE DO AEROPORTO. Por meio de dados de DNS passivo e semelhanças de hospedagem, identificamos três domínios relacionados, que acreditamos fazerem parte da mesma campanha, hospedados no mesmo endereço IP do servidor web: 154.41.240.248

‍

Domain Name	Registrar	Created Date	Nameserver
loungepass[.]info	HOSTINGER operations, UAB	2024-08-12	ns1.dns-parking.com, ns2.dns-parking.com
loungepass[.]online	HOSTINGER operations, UAB	2024-03-27	NS2.DNS-PARKING.COM, NS1.DNS-PARKING.COM
loungepass[.]in	HOSTINGER operations, UAB	2024-08-12	ns1.dns-parking.com, ns2.dns-parking.com

‍

*O domínio malicioso que distribuiu o SMS Steale*

‍

Informações da OSINT

Uma investigação mais aprofundada usando plataformas de scanner de URL de crowdsourcing revelou que os mesmos URLs haviam sido digitalizados anteriormente. Curiosamente, parece que alguém também escaneou o aplicativo Android mencionado pelas vítimas no vídeo do Twitter. Isso valida nossa hipótese sobre a distribuição do APK por meio desses domínios e as conexões entre os outros domínios descobertos.

‍

APK malicioso distribuído por esses domínios, conforme confirmado por plataformas de scanner de crowdsourcing (urlscan.io)

‍

Informações do Reversed SMS Stealer

Após a engenharia reversa do ladrão de SMS do Android LOUNGEPASS.apk (981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4), as permissões no arquivo Manifest revelaram a verdadeira intenção do APK. Uma análise mais aprofundada revelou segredos codificados e o endpoint de URL do Firebase Messaging Service, expondo os dispositivos das vítimas e facilitando o roubo de dinheiro ao explorar a extração de mensagens SMS dos números das vítimas.

‍

‍

Recomendações

Em primeiro lugar, baixe apenas aplicativos de acesso ao lounge de fontes confiáveis, como a Google Play Store ou a Apple App Store: Sempre verifique se o nome do editor do aplicativo corresponde ao da empresa oficial e reserve um tempo para analisar os comentários dos usuários e verificar os números de download antes de instalar qualquer aplicativo.
Tenha cuidado ao encontrar códigos QR em aeroportos: Evite escanear códigos QR aleatórios, pois eles podem causar downloads maliciosos ou fraudes. Nunca baixe aplicativos por meio de links diretos de APK que ignoram as lojas de aplicativos oficiais e, se você não tiver certeza, sempre peça aos funcionários do aeroporto ou do lounge que confirmem a legitimidade de qualquer código.
Proteja seu acesso por SMS ao nunca conceder permissões de SMS para aplicativos de lounge ou viagens: Suspeite de qualquer aplicativo que solicite acesso às suas mensagens, pois aplicativos legítimos de lounge não precisam de acesso por SMS. Essa é uma etapa crucial para impedir o acesso não autorizado às suas informações pessoais.
Ao reservar o acesso ao lounge, use somente canais oficiais, como benefícios bancários ou de cartão de crédito: Reserve por meio dos sites oficiais do aeroporto ou de parceiros confiáveis. Se você tiver alguma dúvida, reservar diretamente no balcão do lounge é sempre uma opção segura.‍
Por fim, é importante monitorar suas contas regularmente enquanto viaja: ative alertas bancários para qualquer transação e verifique suas contas com frequência para garantir que não haja atividades suspeitas. Se você notar algo incomum, informe imediatamente ao seu banco.
Se você instalou recentemente algum aplicativo relacionado ao lounge, revise suas permissões e remova qualquer um que pareça suspeito para proteger seus dados. Fique atento e priorize sua segurança ao viajar.

‍

Indicadores

Type of Indicator	Value
Android APK	8c3d6da8af8a4e0beb1e578d07fbc5527dbb960d6e23e39dadd422e4602ed521
	981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4
	2756a9b4e4e55f94622caca76e4583eaa8b98b577e5fcef1fd6b32a6333670f8
Domain	loungepass[.]info
	loungepass[.]online
	loungepass[.]in