Investigação revela operação sofisticada que combina inteligência artificial, engenharia social e aplicações móveis legítimas para roubo de dinheiro e identidade

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP) (NASDAQ: CHKP), líder global em soluções de cibersegurança, identificou uma nova e sofisticada campanha de fraude financeira baseada em inteligência artificial, designada internamente como “Truman Show Scam”, que cria uma falsa realidade de investimento para manipular vítimas ao longo de várias semanas.

Ao contrário dos esquemas tradicionais, esta operação não recorre a malware clássico. Em vez disso, utiliza aplicações disponíveis nas lojas oficiais da Apple e da Google, combinadas com comunidades falsas em plataformas de mensagens como WhatsApp e Telegram, totalmente geradas e controladas com recurso a IA.

Fraude sem malware: legítima à superfície, maliciosa por design

A investigação da Check Point revela que as aplicações móveis utilizadas não contêm qualquer lógica real de investimento. Funcionam como simples interfaces WebView ligadas a servidores controlados pelos atacantes, onde saldos, transacções e lucros são fabricados remotamente.

O verdadeiro ataque ocorre ao nível psicológico e social. As vítimas são atraídas através de SMS, anúncios ou mensagens em redes sociais e integradas em grupos privados que simulam comunidades de investimento profissionais, com “especialistas”, participantes activos e alegados resultados diários positivos.

Comunidades falsas geradas por IA

Nestes grupos, perfis fictícios criados com inteligência artificial assumem o papel de analistas financeiros e investidores experientes. As conversas são fluentes, adaptadas ao idioma local e cuidadosamente encenadas para criar confiança, validação social e medo de perder oportunidades.

Ao longo do tempo, as vítimas são incentivadas a instalar uma aplicação “exclusiva” e a completar processos de verificação de identidade semelhantes a KYC, fornecendo documentos pessoais sensíveis. Segue-se o pedido de depósitos financeiros, por transferência bancária ou criptomoedas.

Roubo financeiro e de identidade

Segundo a Check Point, as consequências para as vítimas incluem:

• Perda directa de fundos transferidos para contas controladas pelos atacantes
• Comprometimento de dados pessoais e documentos de identificação
• Risco de fraude subsequente, incluindo esquemas de recuperação ou roubo de identidade

A investigação mostra ainda que a mesma infraestrutura pode ser rapidamente reutilizada e adaptada a diferentes países, idiomas e marcas, demonstrando como a IA está a transformar a fraude numa operação escalável e industrializada.

“Este caso demonstra que o risco móvel já não se limita a aplicações maliciosas. Mesmo apps disponíveis em lojas oficiais podem ser utilizadas como porta de entrada para ecossistemas de fraude altamente sofisticados, alimentados por inteligência artificial”, refere a Rui Duro, Country Manager para Portugal da Check Point Software.

A empresa alerta que a confiança excessiva na validação das app stores pode criar uma falsa sensação de segurança, defendendo uma abordagem de protecção que correlacione comportamento social, infraestruturas e contexto, e não apenas código.

A Check Point aconselha utilizadores e organizações a desconfiarem de:

• Contactos de investimento não solicitados
• Promessas de retornos elevados ou garantidos
• Comunidades onde não existe discordância ou pensamento crítico
• Apps que solicitam documentos de identificação sem historial credível

Para empresas, a ameaça é ainda mais crítica, uma vez que o roubo de identidade de colaboradores pode servir de ponto de entrada para ataques corporativos mais graves.