FriendlyDealer imita lojas de aplicativos oficiais para promover aplicativos de jogos de azar não avaliados

Identificamos uma enorme campanha de engenharia social projetada para levar as pessoas a sites de jogos de azar on-line com a impressão de que estão instalando um aplicativo legítimo.

Estamos chamando isso Revendedor amigável. Isso foi observado em pelo menos 1.500 domínios, cada um hospedando um site que se faz passar pelo Google Play ou pela Apple App Store. Os usuários pensam que estão baixando um aplicativo de jogos de azar de uma fonte confiável, com todas as verificações, análises e proteções que isso implica. Mas na verdade eles ainda estão em um site, instalando um aplicativo da web que os redireciona para ofertas de cassino por meio de links afiliados.

A campanha não rouba senhas nem instala malware tradicional. Em vez disso, ganha dinheiro através de comissões sempre que alguém se inscreve ou deposita dinheiro num destes sites.

Isso pode parecer menos sério do que um Trojan bancário, mas o resultado final são pessoas sendo canalizadas para sites de jogos de azar não regulamentados, sem verificação de idade, sem limites de depósito e sem proteção ao consumidor. E chega num momento em que o vício do jogo é sendo chamado a explosão de jogos de azar mais rápida que o país já viu.

Um kit, dezenas de aplicativos, criados para imitar lojas de aplicativos reais

FriendlyDealer é construído como um kit único e reutilizável que pode gerar muitas listagens de aplicativos falsos diferentes.

O kit detecta qual dispositivo você está usando e mostra uma loja falsa diferente de acordo. Os usuários do Android veem uma Google Play Store falsa. Os usuários do iPhone veem uma Apple App Store falsa. O kit ainda carrega as fontes corretas do sistema para cada plataforma (Google Sans no Android, San Francisco no iOS) para que a tipografia corresponda ao que você esperaria do seu telefone.

Nos bastidores, é um único aplicativo da web que lê todo o seu conteúdo de um arquivo de configuração incorporado na página. Altere esse arquivo e você obterá uma listagem de aplicativos completamente diferente em execução no mesmo código.

As operadoras usaram isso para criar pelo menos vinte marcas de cassino, de “Corrida da Torre”(189 implantações) para“Estrada da Galinha”(97) para“JOGOS DE BESTA: PESCA NO GELO“(43), que se faz passar pelo criador do YouTube, MrBeast. (Vale a pena notar que algumas skins reutilizam os nomes de algumas marcas legítimas de jogos de azar, mas nenhuma delas é afiliada à operação.)

As críticas são falsas. Diferentes aplicativos reutilizam nomes de usuário, fotos de perfil, textos e respostas de desenvolvedores idênticos e são repetidos em várias marcas. Antes de mostrar a loja falsa, o kit também pode exibir um simples minijogo de cassino para gerar engajamento.

O falso botão “Instalar” no Android depende de um recurso do Chrome que só funciona em dispositivos móveis. Ele captura o prompt de instalação do Chrome e o aciona quando tocado, para que uma caixa de diálogo de instalação real apareça. O aviso habitual sobre a instalação de aplicativos de fontes desconhecidas não aparece. Pesquisas anteriores mostraram que os aplicativos instalados dessa forma podem até exibir “Instalado da Google Play Store” nas configurações do seu telefone.

O código faz de tudo para colocar você no navegador certo. Se você chegar por meio de um anúncio do Facebook ou Instagram, estará dentro do navegador integrado desses aplicativos, que não pode acionar a instalação. No Android, o kit gera um link especial que força a reabertura da página no Chrome. No iOS, faz a mesma coisa, mas no Safari. Se o Chrome não estiver instalado, o substituto enviará você para a Play Store real para fazer o download. Existe até um gerenciador separado para o navegador da Samsung. A engenharia específica do navegador é extraordinariamente detalhada.

A página desativa o zoom, dificultando a inspeção detalhada. O kit atribui um ID de rastreamento por usuário e o reutiliza em fluxos de análise, eventos, registro push e roteamento de ofertas.

O kit está conectado para publicidade paga. A configuração inclui slots vazios para rastreamento de pixels de quatro plataformas de anúncios: Google, Yandex, Facebook e TikTok. O aplicativo e o script em segundo plano podem encaminhar identificadores de anúncio estilo Facebook (_fbc/_fbp) quando esses valores estiverem disponíveis. O código faz referência aos campos de telemetria Yandex e vem com comentários e strings de depuração em russo, o que é consistente com um contexto de desenvolvimento em russo, embora esses artefatos também possam ter sido herdados de um kit reutilizado ou comprado.

O fluxo é simples: compre tráfego de anúncios, detecte o dispositivo, mostre uma loja de aplicativos falsa, acione uma instalação com aparência real e redirecione para um cassino por meio de um link de afiliado.

Você não está instalando um aplicativo

Quando um usuário toca em Instalar, a página não baixa um aplicativo. Em vez disso, o navegador cria o que é chamado de Progressive Web App (PWA). É essencialmente um site que se comporta como um aplicativo, com seu próprio ícone na tela inicial e sua própria tela inicial. Para a maioria das pessoas, é indistinguível de um aplicativo real.

Depois de instalado, o aplicativo pode continuar sendo executado em segundo plano usando recursos do navegador chamados service workers (mantendo uma conexão persistente com o seu dispositivo). Os exemplos incluem o trabalhador PWA principal e o código para registrar um trabalhador push separado (para enviar notificações) quando habilitado.

O kit também sabe quando você já o instalou. Ele verifica seu dispositivo em busca de seu próprio PWA e, se o encontrar, ignora completamente a loja falsa e o envia direto para o cassino.

Um domínio une tudo

Cada implantação do FriendlyDealer direciona para o mesmo domínio: ihavefriendseverywhere(.)xyz. Este é o servidor de coleta de dados da campanha e o nome que inspirou nosso nome de rastreamento da operação.

O script em segundo plano e o código do aplicativo enviam telemetria para esse domínio, incluindo idioma do navegador, fuso horário, dados do agente do usuário, dicas opcionais do cliente do agente do usuário, identificadores de campanha e identificadores de anúncio quando esses valores estão disponíveis. Muito disso é enviado por meio de cabeçalhos de solicitação personalizados.

Algumas solicitações usam o método HEAD para permanecerem leves.

O código do aplicativo também envia algo que o script em segundo plano não envia: relatórios de erros de JavaScript. Cada falha, cada carregamento de recurso com falha, cada exceção não tratada que ocorre no dispositivo da vítima é capturada, empacotada em um objeto de erro estruturado com carimbo de data e hora e contexto e postada no ihavefriendseverywhere(.)xyz/api/log_standard_err. Na verdade, os operadores estão coletando dados do usuário e telemetria de erros de produção de dispositivos reais.

Se uma solicitação falhar (por exemplo, devido a um sinal fraco), o script em segundo plano a armazena localmente e tenta novamente mais tarde. Assim que a conexão for retornada, os dados serão enviados automaticamente.

O aplicativo falso também pede permissão de notificação. Se o usuário conceder, o kit pode registrar uma assinatura push e criar um canal direto para notificações futuras. Elas aparecem como notificações normais de aplicativos, dando aos operadores uma linha direta de volta ao usuário, mesmo depois que o aplicativo é fechado.

Siga o dinheiro: comissões de afiliados, não malware

FriendlyDealer não espalha vírus nem assume o controle de dispositivos. Toda a operação é executada em comissões de afiliados. Cada página falsa da loja de aplicativos contém um redirecionamento oculto para uma rede de rastreamento afiliada. Quando um usuário se inscreve ou deposita dinheiro, a operadora é paga.

Encontramos várias redes de rastreamento de afiliados no código. Um ID por usuário aparece na lógica de análise, evento, push e roteamento de oferta do kit, permitindo que a atividade seja correlacionada em vários estágios do funil.

Este modelo explica a enorme escala da campanha. Cada domínio é descartável. O kit é um modelo; altere um arquivo de configuração e você terá uma nova marca de cassino em um novo domínio em minutos. Com pagamentos de afiliados de jogos de azar variando de US$ 50 a US$ 400 por usuário depositante, mesmo uma pequena taxa de conversão em mil domínios aumenta rapidamente.

Quem está por trás disso?

Não podemos atribuir a campanha a um grupo específico, mas há pistas. O código-fonte contém comentários em russo (por exemplo, “Crie um cronômetro para medir o tempo de carregamento do Vue “). Uma das compilações enviadas com strings de depuração russas não removidas que foram eliminadas da versão de produção. O código se integra ao Yandex Metrica, que é popular na Rússia e nos antigos estados soviéticos.

Estes apontam para um contexto de desenvolvimento de língua russa, embora o código pudesse ter sido reutilizado ou adquirido.

O código também contém tags de marketing de afiliados – preland-alias e preland-final-action – onde um “pré-lander” é a página que um visitante vê antes da oferta real. O código do aplicativo mostra que esta tag controla o comportamento do kit: um valor 0 aciona uma instalação do PWA, enquanto 1 redireciona para uma loja de aplicativos. Combinado com slots de pixel de anúncio plug-and-play, configuração por implantação e lógica de preparação/produção, isso sugere fortemente um kit reutilizável criado para várias campanhas ou operadores, e não um projeto único.

Encontramos várias versões do mesmo kit. A versão de produção teve mensagens de depuração removidas, mas outras versões incluem mensagens de erro completas em russo e suporte para algarismos arábicos em toda a interface – contagens de downloads, classificações, datas de revisão e muito mais. Isto não parece um kit construído para um único mercado; parece projetado para suportar variantes regionais no momento da construção.

Um truque familiar com uma recompensa diferente

Páginas falsas de lojas de aplicativos são uma técnica conhecida, frequentemente usada para roubar credenciais bancárias ou entregar spyware. FriendlyDealer usa o mesmo manual, uma loja falsa convincente e um fluxo de instalação de aparência real, mas com um objetivo diferente. Ele não assume o controle do seu telefone nem rouba suas senhas. Ele direciona você para plataformas de jogos de azar e ganha uma comissão quando você gasta dinheiro.

O dano é financeiro e não técnico: as vítimas são canalizadas para ofertas de jogos de azar através de instalações enganosas e fluxos de redirecionamento, e podem acabar depositando dinheiro em sites que não escolheram intencionalmente.

É também um lembrete de que nem todo golpe busca suas senhas. A fraude de afiliados, especialmente em jogos de azar online, pode financiar operações enormes sem nunca tocar em uma única credencial. As pessoas por trás disso construíram uma fábrica: um modelo, vinte marcas, mais de 1.500 domínios. Anúncios pagos trazem tráfego. As lojas de aplicativos falsas fecham o acordo. A rede de afiliados paga as contas.

O que torna isso eficaz é que ele abusa de coisas que deveriam ser confiáveis. O fluxo de instalação de aplicativos do Chrome no Android e “Adicionar à tela inicial” do Safari no iPhone são recursos legítimos, fazendo o que foram projetados para fazer. O problema é que a página que aciona a instalação é uma mentira. O kit é cuidadosamente projetado para que apenas os usuários certos, nos dispositivos certos e nos anúncios certos, possam vê-lo.

O que fazer se você instalou um desses aplicativos

No Android:

• Remova o aplicativo: mantenha pressionado o ícone e toque em Desinstalarou vá para Configurações > Aplicativos e remova tudo o que você não reconhece.
• Limpe os dados do site no Chrome: o aplicativo pode deixar dados no seu navegador. Abra o Chrome > Configurações > Configurações do site > Todos os sitesencontre o site e toque em Limpar e redefinir.
• Verifique as permissões de notificação: Vá para o Chrome > Configurações > Notificações e remova todos os sites que você não reconhece. A desinstalação do aplicativo não remove o acesso às notificações.
• Verifique outros navegadores: Se você usa Edge, Brave ou outro navegador baseado em Chromium, repita as mesmas etapas.

No iPhone:

• Remova o aplicativo: mantenha pressionado o ícone do aplicativo na tela inicial e toque em Remover aplicativo. No iOS, os PWAs não instalam um script em segundo plano como fazem no Android, portanto, remover o ícone também remove os dados do site em cache.
• Limpe os dados do site no Safari: Vá para Configurações > Safári > Avançado > Dados do sitee pesquise o domínio. Deslize para excluí-lo. Isso limpa todos os cookies e dados armazenados restantes.
• Verifique as permissões de notificação: Vá para Configurações > Aplicativos > Safári. Role até o Configurações para sites seção e toque em Notificações. Encontre o site e remova ou negue o acesso.

Se você depositou dinheiro após ser direcionado por uma dessas páginas e acredita que foi enganado, entre em contato com seu banco ou provedor de pagamento imediatamente.

Indicadores de Compromisso (IOCs)

Domínios

• ihavefriendseverywhere(.)xyz—Exfiltração de dados e servidor de registro de erros
• valor(.)bet—URL do portão/ponto de verificação (/__pwa_gate caminho)
• wikis(.)lifestyle—Referência de domínio codificado no código do aplicativo

Não informamos apenas sobre a segurança do telefone: nós a fornecemos

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos móveis baixando Malwarebytes para iOS e Malwarebytes para Android hoje.