Golpe do emprego falso pode gerar dívida; veja como se proteger

Um novo golpe que usa vagas de emprego falsas para contratar financiamentos de veículos em nome das vítimas está mirando brasileiros e explorando aplicativos maliciosos para roubar dados sensíveis. Segundo a empresa de cibersegurança Tempest Security Intelligence, a fraude identificada como RecrutaFraude combina engenharia social, apps maliciosos para Android e uso indevido de biometria facial para aplicar os golpes. A descoberta foi feita por meio da plataforma Resonant, que detectou a atuação da quadrilha durante falsos processos seletivos.

O primeiro contato da vítima com o golpe ocorre fora do aplicativo. Os criminosos utilizam anúncios em redes sociais, links patrocinados e mensagens em apps como WhatsApp para direcionar usuários a páginas falsas que simulam plataformas de emprego. Esses sites imitam plataformas conhecidas, como Catho e InfoJobs, mas também podem usar nomes completamente fictícios para parecer legítimos.

Ao acessar essas páginas, a vítima é incentivada a preencher um cadastro inicial e baixar um app fora da Google Play Store. Esse primeiro formulário já serve para coleta de dados pessoais. Em seguida, entra em cena o tempo de “aprovação” da conta, usado para filtrar e analisar os dados enviados antes de liberar o acesso completo ao aplicativo.

Carlos Cabral, especialista em cibersegurança da Tempest, explica que, ao ter o cadastro aprovado, a vítima passa a ter contato com os anúncios falsos de vagas de emprego. Como o golpe é voltado para o financiamento de veículos, o aplicativo mostra, majoritariamente, vagas de transporte e entregas em empresas conhecidas no setor de logística, o que dá brecha para um posterior pedido do envio da cópia da Carteira Nacional de Habilitação (CNH).

Outro detalhe que reforça a encenação é que o botão de “candidatar-se” não executa nenhuma ação real, servindo apenas para simular um processo seletivo. Na sequência, a vítima pode receber notificações com novos pedidos de informação, como a atualização de endereço para encontrar vagas na região.

Após o engajamento com o aplicativo, uma nova etapa do golpe é iniciada por meio de notificação. A justificativa apresentada é permitir acesso a informações do processo seletivo com mais segurança. Na prática, trata-se do momento central do golpe. Ao iniciar o reconhecimento facial, o aplicativo ativa um mecanismo de sobreposição de telas. Enquanto o usuário acredita estar validando sua identidade, o app acessa, em segundo plano, a autenticação biométrica de uma instituição financeira.

Cabral explica que, sob a moldura da tela do aplicativo malicioso, o atacante está simultaneamente acessando a verificação biométrica da instituição financeira e usando a autenticação facial da vítima para finalizar o pedido de contratação de um financiamento de veículo em seu nome. Não há exploração de falhas em empresas reais. O golpe funciona principalmente por engenharia social e abuso de marca para enganar o usuário.

O aplicativo malicioso solicita permissões sensíveis no Android e estabelece comunicação com servidores controlados pelos criminosos. O ponto mais crítico envolve os serviços de acessibilidade. Eles permitem que aplicativos leiam o conteúdo da tela e interajam com ela no lugar do usuário. Isso é essencial para que aplicativos de fraudadores consigam fazer transações financeiras, sobrescrevam a tela original do aplicativo com uma do criminoso e controlem o celular remotamente.

O relatório indica ainda que o app pode ser controlado remotamente por notificações e executar ações em tempo real, além de permanecer ativo em segundo plano.

Um dos principais sinais de alerta está na forma de instalação do aplicativo. Cabral alerta que o Android oferece ao usuário a possibilidade de instalar um aplicativo baixado de outras fontes e fazer isso é perigoso. Mesmo que uma página tenha um botão dizendo “clique aqui para baixar o aplicativo”, é melhor ir na loja oficial e procurar o aplicativo por lá. Se ele não existir na loja oficial, é um indício de golpe.

Aplicativos desse tipo costumam apresentar interfaces genéricas, nomes pouco confiáveis, como variações de “RH Recruta”, “BNE Nacional” ou “RedeEmpregos”, e pedidos excessivos de permissões.

O golpe esconde sua real finalidade ao alterar o conteúdo exibido na tela. A vítima não percebe o ataque porque o aplicativo substitui todos os termos em tela ligados a financiamento para outros ligados a vagas de emprego. Por trás da interface, o malware utiliza WebViews e scripts para manipular páginas reais de instituições financeiras em tempo real. O sistema identifica campos, preenche dados da vítima, aceita termos automaticamente e avança etapas do processo como se fosse uma interação legítima.

Essas alterações são reaplicadas continuamente, impedindo que o usuário visualize o conteúdo original. As vagas exibidas, geralmente de transporte e logística, ajudam a justificar o pedido da CNH, documento usado para a análise de crédito. No momento da selfie, a autenticação biométrica é usada para concluir o contrato. Segundo a Tempest, o golpe foi estruturado para atuar com seis instituições financeiras diferentes. O impacto pode incluir dívidas inesperadas, uso indevido do CPF e dificuldade para reverter a fraude.

A principal recomendação é desconfiar de ofertas de emprego fora de canais oficiais. Sites e aplicativos com aparência genérica ou pouco personalizada podem ser um indicativo de fraude. Outras medidas incluem ter cautela ao compartilhar dados pessoais, desconfiar de pedidos inesperados de biometria facial e baixar aplicativos apenas pela loja oficial. Também é importante verificar a reputação da empresa em plataformas como LinkedIn e Reclame Aqui e analisar as permissões solicitadas.