O Universe Browser faz grandes promessas aos seus potenciais usuários. Seus anúncios online afirmam que é o “navegador mais rápido”, que as pessoas que o utilizam “evitarão vazamentos de privacidade” e que o software ajudará a “mantê-lo longe do perigo”. No entanto, tudo provavelmente não é o que parece.
O navegador, que está ligado a sites de jogos de azar online chineses e acredita-se que tenha sido baixado milhões de vezes, na verdade roteia todo o tráfego da internet através de servidores na China e “instala secretamente vários programas que funcionam silenciosamente em segundo plano”, de acordo com novas descobertas da empresa de segurança de rede Infoblox. Os pesquisadores afirmam que os elementos “ocultos” incluem recursos semelhantes a malware—como “registro de teclas, conexões surreptícias” e alteração das conexões de rede de um dispositivo.
Talvez o mais significativo, os pesquisadores da Infoblox que colaboraram com o Escritório das Nações Unidas sobre Drogas e Crime (UNODC) no trabalho, encontraram ligações entre a operação do navegador e o vasto ecossistema de cibercrime de bilhões de dólares do Sudeste Asiático, que tem conexões com lavagem de dinheiro, jogos de azar online ilegais, tráfico humano e operações de fraude que utilizam trabalho forçado. O navegador em si, afirmam os pesquisadores, está diretamente ligado a uma rede em torno da grande empresa de jogos online BBIN, que os pesquisadores rotularam como um grupo de ameaça que chamam de Vault Viper.
Os pesquisadores afirmam que a descoberta do navegador—mais seu comportamento suspeito e arriscado—indica que os criminosos na região estão se tornando cada vez mais sofisticados. “Esses grupos criminosos, particularmente as organizações criminosas chinesas, estão cada vez mais diversificando e evoluindo para fraudes habilitadas por ciber, enganos, impersonação, golpes, todo esse ecossistema”, diz John Wojcik, um pesquisador sênior de ameaças da Infoblox, que também trabalhou no projeto quando era membro da equipe da UNODC.
“Eles continuarão a investir, reinvestir lucros, desenvolver novas capacidades”, diz Wojcik. “A ameaça está se tornando, em última análise, mais séria e preocupante, e este é um exemplo de onde vemos isso.”
Sob o Capô
O Universe Browser foi avistado pela primeira vez—e mencionado pelo nome—pela Infoblox e UNODC no início deste ano, quando começaram a desvendar os sistemas digitais em torno de uma operação de cassino online baseada no Camboja, que foi anteriormente invadida por autoridades policiais. A Infoblox, que se especializa em gerenciamento e segurança de sistema de nomes de domínio (DNS), detectou uma impressão digital DNS única desses sistemas que eles ligaram ao Vault Viper, tornando possível para os pesquisadores rastrear e mapear sites e infraestrutura ligados ao grupo.
Dezenas de milhares de domínios da web, além de várias infraestruturas de comando e controle e empresas registradas, estão ligadas à atividade do Vault Viper, afirmam os pesquisadores da Infoblox em um relatório compartilhado com a WIRED. Eles também afirmam ter examinado centenas de páginas de documentos corporativos, registros legais e processos judiciais com ligações à BBIN ou outras subsidiárias. Repetidamente, eles se depararam com o Universe Browser online.
“Não vimos o Universe Browser anunciado fora dos domínios que o Vault Viper controla”, diz Maël Le Touz, um pesquisador de ameaças da Infoblox. O relatório da Infoblox afirma que o navegador foi “especificamente” projetado para ajudar pessoas na Ásia—onde o jogo online é amplamente ilegal—bypassar restrições. “Cada um dos sites de cassino que eles operam parece conter um link e anúncio para ele”, diz Le Touz.
O Universe Browser em si é oferecido principalmente para download direto desses sites de cassino—geralmente sendo vinculado na parte inferior dos sites, ao lado do logotipo da BBIN. Existem versões para desktop disponíveis para Windows, bem como uma versão de aplicativo na App Store da Apple. E embora não esteja na loja Google Play, existem arquivos APK do Android que permitem que o aplicativo seja instalado diretamente em telefones Android. Os pesquisadores afirmam que várias partes do Universe Browser e o código de seus aplicativos fazem referência à BBIN, e outros detalhes técnicos também fazem referência à empresa.
Os pesquisadores reverteram a engenharia da versão do Windows do navegador. Eles afirmam que, embora não tenham conseguido “verificar a intenção maliciosa”, elementos do navegador que descobriram incluem muitos recursos que são semelhantes aos encontrados em malware e tentam evitar a detecção por ferramentas antivírus. Quando o navegador é iniciado, ele “imediatamente” verifica a localização do usuário, idioma e se está sendo executado em uma máquina virtual. O aplicativo também instala duas extensões de navegador: uma das quais pode permitir que capturas de tela sejam enviadas para domínios vinculados ao navegador.
Embora o jogo online na China seja amplamente ilegal, o país também opera algumas das mais rígidas operações de censura online do mundo e tomou medidas contra anéis de jogo ilegais. Embora o navegador possa ser mais frequentemente usado por aqueles que tentam participar de jogos de azar ilegais, ele também coloca seus dados em risco, afirmam os pesquisadores. “Nas mãos de um ator malicioso—um Triad, por exemplo—este navegador serviria como a ferramenta perfeita para identificar jogadores ricos e obter acesso à sua máquina”, afirma o relatório da Infoblox.
Além de se conectar à China, executar registro de teclas e outros programas que funcionam em segundo plano, o relatório da Infoblox também afirma que várias funções foram desativadas. “O clique direito, acesso às configurações e ferramentas de desenvolvedor, por exemplo, foram todos removidos, enquanto o próprio navegador é executado com várias flags desativando recursos de segurança principais, incluindo sandboxing, e a remoção de protocolos SSL legados, aumentando muito o risco em comparação com navegadores convencionais”, afirma o relatório da empresa. (SSL, também conhecido como Secure Sockets Layer, é um tipo histórico de criptografia da web que protegia algumas transferências de dados.)
Não está claro se esses mesmos comportamentos suspeitos estão presentes nas versões iOS e Android do aplicativo. Um porta-voz do Google afirma que a empresa está investigando o aplicativo e confirmou que não estava disponível através de sua loja Google Play. A Apple não respondeu a pedidos de comentários sobre o aplicativo.
Conectando os Pontos
A infraestrutura da web em torno do Universe Browser levou os pesquisadores de volta à BBIN, uma empresa que existe desde 1999. Embora tenha sido fundada originalmente em Taiwan, a empresa agora tem uma grande base nas Filipinas.
A BBIN, que também é conhecida pelo nome Baoying Group e possui várias subsidiárias, descreve-se como um “fornecedor líder” de software de iGaming na Ásia. Um relatório da UNODC de abril, que liga a BBIN ao Universe Browser, mas não nomeia formalmente a empresa como Vault Viper, afirma que a empresa opera vários hotéis e cassinos no Sudeste Asiático, além de fornecer “uma das plataformas de iGaming mais bem-sucedidas e grandes” da região. Ao longo da última década, a BBIN patrocinou ou fez parceria com vários grandes times de futebol europeus, como o Atlético de Madrid da Espanha, o Borussia Dortmund da Alemanha e o time holandês AFC Ajax.
Nos últimos anos, vários clubes de futebol da Premier League da Inglaterra enfrentaram escrutínio sobre patrocínios por empresas de jogos de azar asiáticas—incluindo a TGP Europe, que foi propriedade de Alvin Chau, o presidente e fundador do SunCity Group, que foi condenado em janeiro de 2023 a 18 anos de prisão após ser considerado culpado de operar jogos de azar ilegais. A TGP Europe deixou o Reino Unido no início deste ano após ser multada pelo regulador de jogos do país. Atlético de Madrid, Borussia Dortmund e AFC Ajax não responderam a pedidos de comentários da WIRED.
A indústria de iGaming desenvolve software de jogos de azar online, como pôquer virtual ou outros jogos de cassino online, que podem ser facilmente jogados na web ou em telefones. “A BBIN Baoying é oficialmente uma desenvolvedora de jogos de cassino online ou uma plataforma de cassino online ‘white label’, o que significa que ela terceiriza sua tecnologia de jogos de azar online para outros sites”, diz Lindsey Kennedy, diretora de pesquisa do The EyeWitness Project, que investiga corrupção e crime organizado. “Os únicos idiomas que oferece são coreano, japonês e chinês, o que não é um bom sinal, já que o jogo online é ou banido ou fortemente restrito em todos os três países.”
“Baoying e BBIN são o que eu chamaria de um conglomerado internacional de bilhões de dólares em área cinza com profundas conexões criminosas, apoiando e fornecendo serviços a negócios de jogos de azar online, fraudes e atores de cibercrime”, alega Jeremy Douglas, chefe de gabinete da UNODC e seu ex-representante regional para o Sudeste Asiático. “Além do que foi estimado em uma participação de dois terços por Alvin Chau do SunCity—considerado o maior lavador de dinheiro na história da Ásia—parceiros da aplicação da lei documentaram conexões diretas com grupos Triad, incluindo a Bamboo Union, Four Seas, Tian Dao”, diz Douglas sobre a BBIN. (Quando Chau foi condenado em janeiro de 2023, documentos do tribunal apontaram para ele supostamente possuindo uma participação de 66,67% da Baoying).
A BBIN não respondeu a vários pedidos de comentários da WIRED. O principal endereço de e-mail de contato que lista em seu site retornou, enquanto perguntas enviadas para outro endereço de e-mail e formulários de contato online, além de tentativas de contatar dois supostos membros da equipe no LinkedIn não foram respondidas até o momento da publicação. Uma conta do Telegram da empresa apontou a WIRED para um dos formulários de contato que não forneceu respostas.
A Comissão Presidencial Anti-Crime Organizado (PAOCC) nas Filipinas, que combate crimes organizados e internacionais, não respondeu a um pedido de comentários da WIRED sobre a BBIN.
Ao longo da última década, o crime online no Sudeste Asiático aumentou drasticamente, impulsionado parcialmente por jogos de azar online ilegais e também por uma série de complexos de fraude que foram estabelecidos em Mianmar, Laos e Camboja. Centenas de milhares de pessoas de mais de 60 países foram enganadas para trabalhar nesses complexos, onde operam fraudes dia e noite, roubando bilhões de dólares de pessoas ao redor do mundo.
“Parques e complexos de fraude em toda a região geralmente hospedam operações de jogos de azar online e fraudes online, e a metodologia usada para atrair indivíduos a abrir contas de jogos de azar online se assemelha àquela associada a golpes de ‘pig-butchering'”, diz Jason Tower, um especialista sênior na Iniciativa Global Contra o Crime Organizado Transnacional.
Na semana passada, as autoridades dos EUA apreenderam US$ 15 bilhões em Bitcoin de uma grande organização cambojana, que lidava publicamente com imóveis, mas supostamente operava instalações de fraude em “segredo”. Uma das entidades sancionadas, o Jin Bei Group no Camboja, que as autoridades dos EUA acusaram de operar uma série de complexos de fraude, também mostra ligações com a tecnologia da BBIN, diz Tower. “Existem vários grupos no Telegram e sites de cassinos indicando que a BBIN faz parceria com várias entidades dentro do cassino Jinbei”, diz Tower, acrescentando que um grupo no Telegram “publica anúncios diários indicando uma parceria oficial entre Jinbei e BBIN”.
Nos últimos anos, vários comunicados de imprensa do governo e notícias de países como China e Taiwan alegaram como a tecnologia da BBIN foi usada em operações de jogos de azar ilegais e ligada ao cibercrime. “Existem centenas de postagens no Telegram anunciando agressivamente vários sites de jogos de azar voltados para chineses que dizem que são ou são construídos com tecnologia da BBIN/Baoying, muitas delas por indivíduos que afirmam operar a partir de complexos de fraude e jogos de azar ilegais, ou como parte da indústria altamente ilegal e movida pelo tráfico no Camboja e no norte de Mianmar”, diz Kennedy do The EyeWitness Project.
Embora o Universe Browser tenha sido provavelmente baixado por aqueles que acessam sites de jogos de azar em chinês, os pesquisadores afirmam que seu desenvolvimento indica quão fundamental e lucrativas são as operações ilegais de jogos de azar online e expõem suas ligações a esforços de fraude que operam em todo o mundo. “À medida que essas operações continuam a escalar e diversificar, elas são marcadas por crescente expertise técnica, profissionalização, resiliência operacional e a capacidade de funcionar sob o radar com muito pouca supervisão e fiscalização”, conclui o relatório da Infoblox.