Recientemente se ha expuesto la estafa de la aplicación Lounge Pass, una nueva estafa en línea que involucra una aplicación maliciosa del mismo nombre. El incidente salió a la luz después de que una presunta víctima de hacer trampa Recurrieron a las redes sociales para compartir su experiencia y cómo fueron estafados enormemente. Los investigadores de ciberseguridad ahora han confirmado la existencia de la estafa que se lleva a cabo a través de una aplicación llamada Lounge Pass y han explicado cómo los malhechores podían robar dinero a las personas.
La historia de la víctima.
En un video publicado en X (antes Twitter), un usuario publicó un video de una mujer que supuestamente fue víctima de una estafa. La publicación ahora se ha vuelto viral con más de 5000 me gusta y 2100 publicaciones repetidas. La mujer afirmó que el incidente tuvo lugar dentro del Aeropuerto Internacional Kempegowda en Bengaluru el 29 de septiembre. Afirmó que dejó su tarjeta de crédito en casa y en su lugar subió una foto suya. Al querer acceder al salón, supuestamente mostró una foto de la tarjeta de crédito a las personas que estaban en el salón. Sin embargo, los asistentes supuestamente le pidieron que descargara la aplicación Lounge Pass.
La víctima también compartió una captura de pantalla de una conversación de WhatsApp donde los presuntos estafadores le enviaron una URL para descargar la aplicación. También supuestamente le pidieron que compartiera su pantalla y realizara un escaneo facial (escaneo facial) por “motivos de seguridad”. Luego se le permitió usar el salón. También afirmó que durante las siguientes semanas, la gente le dijo que no podían comunicarse con ella por llamada y que a veces una voz “masculina” respondía cuando la llamaban.
Supuestamente descubrió la estafa después de que llegó la factura de su tarjeta de crédito y notó una transacción por valor de Rs. 87125 a la cuenta PhonePe. Si bien la víctima no está segura, afirmó que una aplicación maliciosa puede haber sido el motivo de la estafa.
La captura de pantalla también mostró que la configuración de su teléfono había sido cambiada para activar el desvío de llamadas sin su conocimiento. Supuestamente denunció este incidente a la Célula de Delitos Cibernéticos. Gadgets 360 no pudo verificar ninguna de las afirmaciones.
Los investigadores investigan la estafa de Lounge Pass
El equipo de investigación de amenazas de la empresa de ciberseguridad CloudSEK pudo hacer precisamente eso Cerciorarse La existencia de una estafa a través de Open Source Intelligence Investigation (ONST). Los investigadores pudieron descubrir múltiples dominios que se utilizaron para distribuir la aplicación Lounge Pass.
Según la investigación, la estafa se llevó a cabo a través de una sofisticada aplicación de secuestro de SMS que puede controlar el dispositivo una vez instalado. Es probable que los estafadores roben información confidencial del dispositivo utilizando la aplicación y tomen el control de los SMS y las llamadas. Una vez hecho esto, transfieren los fondos a la cuenta bancaria deseada e interceptan la contraseña de un solo uso (OTP), ya sea que se envíe por mensaje de texto o por llamada.
Los investigadores pudieron aplicar ingeniería inversa al archivo APK de la aplicación y descubrieron que los estafadores habían dejado expuesto accidentalmente su punto final de Firebase. Este punto final se utilizó para almacenar mensajes de texto SMS interceptados de las víctimas. Según el análisis de datos, los investigadores descubrieron que entre julio y agosto de 2024, aproximadamente 450 personas instalaron la aplicación. Además, los estafadores también lograron engañar a más de Rs. 9 miles de rupias de víctimas durante este período.
Los investigadores de CloudSEK también destacaron que es posible que esta no sea la imagen completa, ya que la empresa solo analizó un punto final.
¿Qué pueden hacer las personas para protegerse?
Dado que la aplicación no está disponible en Play Store o App Store, no se puede hacer mucho para eliminarla. Los investigadores compartieron una serie de recomendaciones que las personas pueden seguir para protegerse de estas estafas.
En primer lugar, se recomienda a las personas que no descarguen aplicaciones de acceso a salas VIP de fuentes no confiables. Para este fin, sólo se debe confiar en los mercados de aplicaciones oficiales. Además, antes de la instalación, los usuarios deben comprobar el nombre del editor de la aplicación.
Los viajeros también deben evitar escanear códigos QR aleatorios en los aeropuertos. Además, al descargar una aplicación, los usuarios deben tener cuidado con los permisos que le otorgan. Si no es absolutamente necesario, ninguna aplicación debería poder acceder a SMS o funciones de llamadas. Finalmente, cualquier aplicación bancaria o UPI instalada en el dispositivo debe tener autenticación de dos factores (2FA) para una capa adicional de seguridad.