Framework chinês Uni-App é base para 236 mil sites de golpe de investimento, revela Infoblox

Pesquisadores da Infoblox identificaram mais de 236.000 domínios usados para golpes de investimento e fraudes financeiras construídos sobre o Uni-App, framework open source desenvolvido pela chinesa DCloud. Os sites vão de exchanges falsas de criptomoedas a plataformas de pig butchering, gambling fraudulento e phishing em WhatsApp e Telegram. Entre eles está o infame RainbowEx, que levou milhares de moradores de uma cidade pequena na Argentina a perderem economias inteiras. Desde outubro de 2024, surgem em média 15 mil novos domínios maliciosos por mês usando esse mesmo template.

O que aconteceu

O relatório publicado nesta semana pela Infoblox descreve um ecossistema industrial de golpes financeiros que opera sobre um toolkit legítimo. O Uni-App, criado pela empresa chinesa DCloud, é um framework cross-platform baseado em Vue.js que permite a desenvolvedores escreverem uma única base de código e implantá-la como aplicativo mobile, desktop ou site otimizado para mobile. A DCloud não tem envolvimento aparente com o uso fraudulento.

O problema é que atacantes passaram a vender, em fóruns de cibercrime, templates pré-fabricados de scam de investimento construídos justamente em Uni-App. O resultado é uma fingerprint técnica detectável que permitiu à Infoblox correlacionar dezenas de milhares de sites aparentemente independentes a clusters de mesma propriedade operacional.

O número impressiona: 236 mil domínios de segundo nível ativos, com pico de 15 mil registros novos por mês desde outubro de 2024 — um aumento que a própria Infoblox atribui ao “efeito RainbowEx”, quando o caso argentino virou capa internacional e divulgou involuntariamente o template para outros operadores.

Como o esquema funciona

O modelo operacional é clarinho e replicável:

• Camada técnica: o operador compra um template Uni-App pronto (interface de exchange, painel de carteira, gráfico de cotações), troca a marca, hospeda em provedor barato com domínio recém-registrado.
• Camada de aquisição: recruta vítimas via Tinder, WhatsApp, Telegram, grupos de Facebook, com aborda gens longas e relacionais (pig butchering) que duram semanas.
• Camada de monetização: a vítima é convencida a transferir cripto para uma carteira da “exchange”, vê saldos crescerem (números falsos no front), e quando tenta sacar é barrada por uma “taxa” ou “imposto” que nunca termina de pagar.
• Camada de queima: quando o site fica conhecido, é descartado e um novo domínio do mesmo template substitui em horas.

Além das exchanges falsas, a Infoblox documentou crypto wallet drainers, plataformas de aposta e mercado de predição falsificadas, impersonações de marcas legítimas e phishing de plataformas de mensageria. Casos rec entes incluem a Lightning Shared Scooter Co. (LSSC), que combinou operação online com lojas físicas nos EUA para reforçar legitimidade antes do colapso, e a Yuechi Sharing Technology Ltd. (YST), atualmente ativa em Austrália, Nova Zelândia e Estados Unidos com fachada de scooter-sharing.

“Nos últimos dois anos, houve um aumento dramático de sites de scam usando o framework DCloud, e operadores continuam lançando esquemas complexos do mundo real para enganar vítimas.” — Infoblox, junho de 2026

Quem é afetado

• Vítimas individuais em pelo menos quatro continentes, com casos documentados na Argentina (RainbowEx), EUA, Austrália, Nova Zelândia e norte da Europa.
• Bancos e PSPs que processam transferências para carteiras de cripto controladas pelos operadores e enfrentam disputas de chargeback impossi veis de resolver.
• Plataformas de mensageria (WhatsApp, Telegram, Discord, Tinder) usadas como vetor de aproximação.
• Provedores de hosting e registradores de domínio, que viram a maior fonte de registros maliciosos do segundo semestre de 2024 para cá.
• A própria DCloud e a comunidade Uni-App legítima, que ganham um problema reputacional sem ter culpa direta.
• Brasileiros: o país é mercado natural pela popularidade do WhatsApp como canal de aproximação e pelo crescimento de invest idores PF em cripto desde 2021. A Policía Federal e a Senacon têm alertado para variantes locais com o mesmo formato.

Análise

O caso Uni-App ilumina uma mutação importante no mercado de cibercrime: a industrialização do front-end de fraude. Da mesma forma que o ransomware migrou de operadores artesãos para plataformas RaaS (Ransomware-as-a-Service) entre 2019 e 2022, os golpes de investimento agora têm sua camada “SaaS”: kits prontos, vendidos como produto, com suporte técnico e atualizações.

A escolha do Uni-App não é aleatória. É um framework popular, com documentação farta em chinês, comunidade ativa e a vantagem operacional de gerar sites que se comportam como aplicativos — o que confere ar de legitimidade institucional. Para um sistema de detecção que filtra apenas por domínio ou hash de página, esses sites parecem produtos comerciais reais.

O pig butchering não é novidade — o termo entrou no léxico em 2021, derivado da expressão chinesa sha zhu pan. O que mudou em 2026 é a escala industrial e a coordenação. O fato de Infoblox detectar “quedas coordenadas nos registros de novos domínios em hosts diversos” sugere proprietariedade centralizada por trás de redes aparentemente fragmentadas — o mesmo padrão observado em ecossistemas RaaS.

Para o Brasil, o alerta é particularmente relevante. A popularidade do WhatsApp como vetor de aproximação, a alta penetração de investidores pessoa física em cripto e a fragmentação regulatória entre CVM, BC e Senacon criam condições férteis para que variantes locais desses templates se proliferem — especialmente associadas a discursos de “sorteios”, “tokens da Receita” e “rendas garantidas” em comunidades online.

Recomendações práticas

• Para usuários: nunca enviar cripto para “exchange” encontrada por meio de contato espontâneo em redes sociais, app de namoro ou mensagem inesperada — não importa quanto tempo a conversa já tenha durado.
• Para usuários: validar a exchange na CVM (lista pública de inadimplência), no Procon e em consultas no site oficial do regulador do país sede; se não aparece, não existe legalmente.
• Para SOCs e times de fraude: usar a fingerprint técnica do Uni-App (assets compilados típicos, padrão de bundle, headers) como sinal de risco em URLs compartilhadas internamente.
• Para registradores e CDNs: aplicar checks no momento do registro em domínios que combinem termos de cripto, exchange ou investment com TLDs baratos.
• Para bancos e PSPs: reforçar alertas de transferência para carteiras flagged como envolvidas em scam por feeds de threat intel especializados.
• Para empresas de comunicação: campanhas educativas focadas em população vulnerável (50+, primeiros investidores em cripto) com exemplos visuais dos templates.
• Para a DCloud e mantenedores de Uni-App: considerar fingerprints opcionais ou metadados de origem nos builds de produção que permitam diferenciar templates legítimos dos kits maliciosos.

Fonte: SecurityWeek