Los estafadores también infiltraron 7 nuevas aplicaciones falsas en las tiendas Apple y Google Play

Agosto 2, 2023 —

Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, publicó hoy nuevos hallazgos sobre estafas de CryptoRom, un subconjunto de esquemas de pig butchering  (shā zhū pán) diseñados para engañar a los usuarios de aplicaciones de citas. en hacer inversiones en criptomonedas falsas, en su último informe, "Sha Zhu Pan Scam usa la herramienta de chat AI para dirigirse a los usuarios de iPhone y Android". Desde mayo, Sophos X-Ops ha observado que los estafadores de CryptoRom refinan sus técnicas, incluida la adición de una herramienta de chat de IA, como ChatGPT, a su conjunto de herramientas. Los estafadores también ampliaron sus tácticas de coerción al decirles a las víctimas que sus cuentas criptográficas fueron pirateadas y que se necesita más dinero por adelantado.

Sophos X-Ops también descubrió que los estafadores podían infiltrar siete nuevas aplicaciones falsas de inversión en criptomonedas en las tiendas oficiales de aplicaciones de Apple y Google Play, lo que aumentaba el potencial para las víctimas.

En 2022, el fraude de inversiones causó las pérdidas más altas de todas las estafas denunciadas por el público al Centro de Quejas de Delitos en Internet (IC3) del FBI, por un total de $3310 millones. Los fraudes que involucran criptomonedas, incluido el pig butchering, representaron la mayoría de estas estafas, aumentando un 183 % desde 2021 a $2570 millones en pérdidas reportadas el año pasado.

Sophos X-Ops se enteró por primera vez de los estafadores de CryptoRom que usaban la herramienta de chat de IA, muy probablemente ChatGPT, cuando una víctima estafada se acercó al equipo. Después de contactar a la víctima en Tandem, una aplicación para compartir idiomas que también se ha utilizado como aplicación de citas, el estafador convenció a la víctima para que pasara su conversación a WhatsApp. La víctima comenzó a sospechar después de recibir un mensaje extenso que claramente fue escrito en parte por una herramienta de chat de IA que utiliza un modelo de lenguaje grande (LLM).

AI chat tool

Una captura de pantalla que muestra cómo el estafador usó IA basada en un modelo de lenguaje grande en las respuestas de chat.

“Desde que OpenAI anunció el lanzamiento de ChatGPT, ha habido una amplia especulación de que los ciberdelincuentes pueden usar el programa para sus propias actividades maliciosas. Ahora podemos decir que, al menos en el caso de las estafas de matanza de cerdos, esto está sucediendo de hecho. Uno de los principales desafíos para los estafadores con estafas de CryptoRom es llevar a cabo conversaciones convincentes y sostenidas de naturaleza romántica con los objetivos; estas conversaciones están escritas en su mayoría por "teclistas", que se encuentran principalmente en Asia y tienen una barrera del idioma. Usar algo como ChatGPT puede ser una forma más eficiente y efectiva de mantener estas conversaciones, haciendo que las estafas sean menos laboriosas y más auténticas. También permite a los teclistas interactuar simultáneamente con múltiples víctimas al mismo tiempo”, dijo Sean Gallagher, investigador principal de amenazas de Sophos.

Sophos X-Ops también descubrió una nueva táctica de estafa diseñada para obtener dinero adicional. Tradicionalmente, cuando las víctimas de estafas de CryptoRom intentan sacar provecho de sus "ganancias", los estafadores les dirán que deben pagar un impuesto del 20% sobre sus fondos antes de completar cualquier retiro. Sin embargo, una víctima reciente reveló que después de pagar el "impuesto" para retirar dinero, los estafadores dijeron que los fondos habían sido "pirateados" y que necesitarían otro depósito del 20 % antes de recibir los fondos.

Luego de una mayor investigación, Sophos X-Ops encontró siete aplicaciones falsas de inversión en criptomonedas en las tiendas oficiales de Google Play y Apple App. Estas aplicaciones tienen descripciones aparentemente benignas en las tiendas de aplicaciones (BerryX, por ejemplo, afirma estar relacionado con la lectura). Sin embargo, tan pronto como los usuarios abren la aplicación, se encuentran con una interfaz falsa de intercambio de criptomonedas.

Para superar el proceso de revisión de la tienda de aplicaciones de Apple, los desarrolladores de la aplicación utilizan la misma técnica que Sophos informó por primera vez en febrero de 2023. Presentan la aplicación para su aprobación utilizando contenido web legítimo y común. Luego, una vez que la aplicación ha sido aprobada y publicada, modifican el servidor que aloja la aplicación con código para la interfaz fraudulenta.

Para superar el proceso de revisión de la tienda de aplicaciones de Apple, los desarrolladores de la aplicación utilizan la misma técnica que Sophos informó por primera vez en febrero de 2023. Presentan la aplicación para su aprobación utilizando contenido web legítimo y común. Luego, una vez que la aplicación ha sido aprobada y publicada, modifican el servidor que aloja la aplicación con código para la interfaz fraudulenta.

Muchas de estas siete nuevas aplicaciones reciclaron las mismas plantillas y descripciones, lo que sugiere que las mismas uno o dos mataderos de cerdos están creando el esquema.

“Antes de poder introducir sus aplicaciones en Apple Store, los estafadores de CryptoRom tenían que usar una solución técnica incómoda para atacar a los usuarios de iOS, lo que podría alertar a sus víctimas de que algo andaba mal. Ahora, es mucho más fácil para ellos dirigirse a los usuarios de iPhone, ampliando su grupo de víctimas. Estas aplicaciones también son fáciles de reciclar y reutilizar. De hecho, la aplicación BerryX parece estar relacionada con las aplicaciones falsas que descubrimos y bloqueamos a principios de este año. Si bien hemos alertado a Google y Apple sobre estas últimas aplicaciones, es probable que aparezcan más. Estos estafadores son despiadados. Hoy, les dicen a las víctimas que sus cuentas han sido pirateadas para extorsionar más dinero, pero en el futuro, es probable que piensen en nuevos métodos de extorsión inicial y doble. La mejor defensa contra la matanza de cerdos es el conocimiento de estas campañas. Alentamos a los usuarios que sospechan o creen que pueden haber sido víctimas a que se comuniquen con nosotros”, dijo Gallagher.

Obtenga más información sobre las últimas tácticas utilizadas por los estafadores de CryptoRom en "Sha Zhu Pan Scam usa la herramienta de chat AI para dirigirse a los usuarios de iPhone y Android" en Sophos.com.

Acerca de Sophos

Sophos es una empresa innovadora y líder global de soluciones de seguridad avanzadas para combatir los ciberataques, entre las que se incluyen servicios de detección y respuesta gestionadas (MDR) y de respuesta a incidentes y un amplio catálogo de tecnologías para la protección de endpoints, redes, el correo electrónico y la nube. Como uno de los mayores proveedores especializados en ciberseguridad, Sophos protege a más de 600 000 organizaciones y a más de 100 millones de usuarios de todo el mundo frente a adversarios activos, ransomware, phishing, malware y mucho más. Los servicios y productos de Sophos se conectan a través de la consola de administración de Sophos Central y utilizan Sophos X-Ops, la unidad de información sobre amenazas multidominio de la empresa. La información de Sophos X-Ops optimiza todo el Sophos Adaptive Cybersecurity Ecosystem, que incluye un lago de datos centralizado que se sirve de un completo conjunto de API abiertas disponibles para clientes, partners, desarrolladores y otros proveedores de ciberseguridad y de tecnología de la información. Para las organizaciones que necesitan soluciones de seguridad totalmente gestionadas, Sophos ofrece la ciberseguridad como servicio. Aunque los clientes también pueden gestionar su ciberseguridad directamente mediante la plataforma de operaciones de seguridad de Sophos o utilizar un enfoque híbrido reforzando sus equipos internos con los servicios de Sophos, que incluyen la búsqueda y remediación de amenazas. Sophos vende a través de partners distribuidores y proveedores de servicios gestionados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.