Se acaba de revelar la estafa de la aplicación Lounge Pass, una nueva estafa en Internet que involucra una aplicación maliciosa desconocida. El incidente salió a la luz después de que una presunta víctima de la estafa recurrió a las redes sociales para compartir su experiencia y cómo fue defraudada con una gran cantidad de dinero. Investigadores de ciberseguridad han confirmado la existencia de esta estafa que se lleva a cabo a través de una aplicación llamada Lounge Pass, y han explicado cómo los malos actores podían robar dinero a las personas.
La historia de una víctima
En un video publicado en X (anteriormente conocido como Twitter), un usuario publicó un video de una mujer que supuestamente era víctima de una estafa. La publicación ahora es viral con más de 5000 me gusta y 2100 reenvíos. La mujer dijo que el incidente tuvo lugar dentro del Aeropuerto Internacional Kempegowda en Bengaluru el 29 de septiembre. Dijo que dejó su tarjeta de crédito en casa y le tomó una foto. Cuando quería entrar a la sala, dijo que mostró la foto de la tarjeta de crédito a las personas en la sala. Sin embargo, los asistentes supuestamente le pidieron que descargara la aplicación Lounge Pass.
La víctima también compartió una captura de pantalla de un chat de WhatsApp donde los presuntos bromistas le enviaron una URL para descargar la aplicación. También supuestamente le dijeron que compartiera su pantalla y se pusiera una mascarilla (mascarilla) “para protegerse”. Después de eso, se le permitió usar el baño. También dijo que durante las siguientes semanas la gente le decía que no podían localizarlo por teléfono y que a veces la voz de “hombre” respondía cuando llamaba.
Supuestamente se enteró del fraude después de que llegó la factura de su tarjeta de crédito y vio una transacción de Rs. 87.125 en cuenta PhonePe. Aunque la víctima no está segura, dijo que una mala aplicación puede ser el motivo de la estafa.
En la captura de pantalla, también mostró que, sin su conocimiento, se cambió la configuración de su teléfono para permitir el desvío de llamadas. Se dice que denunció el incidente a la célula de delitos cibernéticos. 360 Apps no pudo verificar algunas de las solicitudes.
Investigadores investigan la estafa de la aplicación Lounge Pass
El equipo de investigación de amenazas de la empresa de ciberseguridad CloudSEK pudo confirmar la existencia de una estafa a través de su investigación de inteligencia de código abierto (ONST). Los investigadores pudieron descubrir varios sitios que se utilizaron para distribuir la aplicación Lounge Pass.
Según la investigación, la estafa fue creada mediante una sofisticada herramienta de piratería de SMS que puede controlar el dispositivo una vez instalado. Los piratas informáticos pueden robar información confidencial del dispositivo utilizando la aplicación y controlar los SMS y las llamadas telefónicas. Una vez que terminan, transfieren el dinero a la cuenta bancaria deseada y bloquean la OTP, ya sea que se envíe por mensaje de texto o llamada telefónica.
Los investigadores pudieron aplicar ingeniería inversa al APK de la aplicación y descubrieron que los piratas informáticos habían dejado expuesta accidentalmente su cuenta de Firebase. Este punto final se utilizó para almacenar mensajes SMS interceptados de las víctimas. Según el análisis de los datos, los investigadores descubrieron que entre julio y agosto de 2024, unas 450 personas instalaron la aplicación. Además, los estafadores también lograron extorsionar más de Rs. 9 lakhs de las víctimas esta vez.
Los investigadores de CloudSEK también enfatizan que esto puede no ser una imagen completa ya que la empresa solo analizó un punto.
¿Qué pueden hacer las personas para protegerse?
Dado que la aplicación no está disponible en Play Store o App Store, es poco lo que se puede hacer para descargarla. Los investigadores han compartido una serie de recomendaciones que las personas pueden seguir para protegerse de este tipo de estafas.
En primer lugar, se recomienda a las personas que no descarguen las herramientas de acceso a las salas VIP de fuentes que no sean de confianza. Para ello sólo se debe confiar en los mercados oficiales. Además, antes de instalar, los usuarios deben verificar el nombre del editor de la aplicación.
Además, los viajeros deben evitar escanear códigos QR aleatorios en el aeropuerto. Además, cada vez que descargas una aplicación, los usuarios deben tener cuidado con los permisos que otorgan. Si no es necesario, ningún dispositivo debe acceder a SMS o funciones del teléfono. Finalmente, cualquier aplicación bancaria o UPI instalada en el dispositivo debe tener autenticación de dos factores (2FA) para mayor seguridad.
