Niedawno wykryto oszustwo związane z aplikacją Lounge Pass – nowe oszustwo internetowe wykorzystujące tytułową złośliwą aplikację. Incydent wyszedł na jaw po tym, jak rzekoma ofiara oszustwa podzieliła się w mediach społecznościowych swoimi doświadczeniami i sposobem, w jaki została oszukana na ogromną kwotę. Badacze zajmujący się cyberbezpieczeństwem potwierdzili obecnie istnienie oszustwa przeprowadzanego za pośrednictwem aplikacji o nazwie Lounge Pass i wyjaśnili, w jaki sposób oszuści byli w stanie ukraść ludziom pieniądze.
Historia ofiary
W filmie opublikowanym w serwisie X (wcześniej znanym jako Twitter) użytkownik zamieścił film przedstawiający kobietę, która rzekomo padła ofiarą oszustwa. Post stał się wirusowy – uzyskał ponad 5000 polubień i 2100 ponownych postów. Kobieta twierdziła, że do zdarzenia doszło na terenie międzynarodowego lotniska Kempegowda w Bengaluru 29 września. Twierdziła, że zostawiła kartę kredytową w domu i zamiast tego miała przy sobie jej zdjęcie. Chcąc uzyskać dostęp do salonu, twierdziła, że pokazała osobom znajdującym się w salonie zdjęcie karty kredytowej. Jednak stewardessy rzekomo poprosiły ją o pobranie aplikacji Lounge Pass.
Ofiara udostępniła także zrzut ekranu czatu WhatsApp, na którym rzekomi oszuści wysłali jej adres URL umożliwiający pobranie aplikacji. Rzekomo kazali jej także udostępnić ekran i wykonać skanowanie twarzy (skanowanie twarzy) „ze względów bezpieczeństwa”. Następnie pozwolono jej korzystać z salonu. Twierdziła także, że przez kilka następnych tygodni ludzie mówili jej, że nie można się z nią skontaktować przez telefon i że czasami na wezwanie odbiera „męski” głos.
Rzekomo dowiedziała się o oszustwie po otrzymaniu rachunku z karty kredytowej i zauważyła transakcję na kwotę rupii. 87 125 na konto PhonePe. Chociaż ofiara nie jest pewna, twierdziła, że przyczyną oszustwa mogła być złośliwa aplikacja.
Na zrzucie ekranu pokazała także, że bez jej wiedzy ustawienia jej telefonu zostały zmienione, aby włączyć przekazywanie połączeń. Rzekomo zgłosiła ten incydent komórce ds. cyberprzestępczości. Gadgets 360 nie był w stanie zweryfikować żadnego z twierdzeń.
Dochodzenie badawcze w sprawie oszustwa związanego z aplikacją Lounge Pass
Zespół zajmujący się badaniem zagrożeń firmy CloudSEK zajmujący się cyberbezpieczeństwem był w stanie to zrobić potwierdzać istnienie oszustwa na podstawie dochodzenia prowadzonego przez wywiad o otwartym kodzie źródłowym (ONST). Badaczom udało się odkryć wiele domen wykorzystywanych do dystrybucji aplikacji Lounge Pass.
Z dochodzenia wynika, że oszustwo zostało przeprowadzone przy użyciu wyrafinowanej aplikacji do kradzieży SMS-ów, która po zainstalowaniu może przejąć kontrolę nad urządzeniem. Oszuści prawdopodobnie kradną poufne informacje z urządzenia za pomocą aplikacji i przejmują kontrolę nad SMS-ami i połączeniami. Po zakończeniu przekazują pieniądze na wybrane konto bankowe i przechwytują hasło jednorazowe, niezależnie od tego, czy zostało ono wysłane SMS-em, czy połączeniem.
Badaczom udało się dokonać inżynierii wstecznej pliku APK aplikacji i odkryli, że oszuści przypadkowo pozostawili odsłonięty punkt końcowy Firebase. Ten punkt końcowy był używany do przechowywania przechwyconych wiadomości SMS od ofiar. Na podstawie analizy danych badacze ustalili, że między lipcem a sierpniem 2024 r. aplikację zainstalowało około 450 osób. Co więcej, oszuści zdołali również wyłudzić kwotę przekraczającą 500 rupii. W tym okresie od ofiar wydano 9 lakhs.
Badacze CloudSEK podkreślili również, że może to nie być pełny obraz, ponieważ firma przeanalizowała tylko jeden punkt końcowy.
Co ludzie mogą zrobić, aby się chronić?
Ponieważ aplikacja nie jest dostępna w Sklepie Play ani App Store, niewiele można zrobić, aby ją usunąć. Badacze podzielili się szeregiem zaleceń, których ludzie mogą przestrzegać, aby chronić się przed takimi oszustwami.
Po pierwsze, zaleca się, aby nie pobierać aplikacji umożliwiających dostęp do poczekalni z niezaufanych źródeł. W tym przypadku należy ufać wyłącznie oficjalnym rynkom aplikacji. Ponadto przed instalacją użytkownicy powinni zweryfikować nazwę wydawcy aplikacji.
Podróżni powinni także unikać skanowania przypadkowych kodów QR na lotniskach. Co więcej, za każdym razem, gdy pobierasz aplikację, użytkownicy powinni uważać na uprawnienia, jakie dają aplikacji. Jeśli nie jest to absolutnie konieczne, żadna aplikacja nie powinna mieć dostępu do funkcji SMS-ów ani połączeń. Wreszcie, wszelkie aplikacje bankowe lub UPI zainstalowane na urządzeniu powinny zawierać uwierzytelnianie dwuskładnikowe (2FA), aby zapewnić dodatkową warstwę bezpieczeństwa.
