Una nuova truffa di investimento usa app legittime, gruppi chiusi e identità generate dall’AI per costruire una realtà sintetica attorno alla vittima, che finisce per prosciugare le proprie finanze senza rendersene conto.
Autore: Redazione SecurityOpenLab
Si chiama Truman Show Scam la nuova forma di frode finanziaria descritta da Check Point Software Technologies. Si tratta di un’operazione di investimento fraudolento che sfrutta l’AI per costruire attorno alla vittima un ambiente completamente sintetico e controllato, distribuito tramite app legittime negli store ufficiali e comunità fasulle su WhatsApp e Telegram. Non si tratta di malware in senso tradizionale: il codice dell’app è tecnicamente pulito e il cuore dell’attacco è una combinazione di social engineering, infrastruttura server-side e identità generate dall’AI che trasforma il classico pig butchering in una macchina industriale di furto di denaro e identità.
La campagna studiata dai ricercatori di Check Point ruota intorno al brand OPCOPRO e deve il nome alla capacità dei cyber criminali di costruire una realtà di investimento su misura per la vittima, in cui ogni elemento è orchestrato per rafforzare la fiducia del malcapitato utente. L’operazione nasce a ottobre 2025, quando gli analisti di mobile security intercettarono una serie di truffe di investimento che combinavano app Android e iOS presenti su Google Play e App Store, backend sotto il pieno controllo degli attaccanti e un layer conversazionale alimentato da grandi modelli linguistici per gestire conversazioni, identità e contenuti in modo scalabile. Il risultato era un ecosistema di frode riutilizzabile, facilmente rebrandizzabile, con una barriera d’ingresso sempre più bassa per i cyber criminali rispetto alle classiche campagne basate su malware.
La catena di attacco parte con una combinazione di SMS, annunci Google e contatti su Telegram che impersonano istituzioni finanziarie legittime. Queste promettono opportunità di investimento con rendimenti superiori al 70 per cento. L’obiettivo della prima fase è portare la vittima all’interno di un ambiente chiuso e controllato, tipicamente un gruppo WhatsApp, in cui i truffatori possono usare messaggi e gestire le tempistiche per esercitare pressioni psicologiche senza interferenze esterne. Già a questo stadio emergono indicatori classici di frode: numeri VoIP, mittenti irregolari, offerte irrealistiche, assenza di contesto personalizzato. L’efficacia dello schema di attacco è proprio nella capacità di presentarli all’interno di una narrativa che richiama il linguaggio del trading istituzionale.
Una volta dentro al gruppo, la truffa si trasforma di fatto in un’esperienza immersiva, in cui la vittima viene circondata da presunti esperti, pari e dati apparentemente indipendenti, che validano ogni passaggio. Check Point descrive gruppi con decine di partecipanti, in cui due o tre figure dominanti, con profili e foto generate dall’AI, si presentano come professionisti navigati, pubblicano analisi, commenti sui mercati, report attribuiti a grandi banche e spiegano strategie avanzate. In parallelo una folla di account macchina, anch’essi probabilmente gestiti in modo centralizzato, mantiene un flusso costante di domande, ringraziamenti, storie di successo e screenshot di profitti. Tutto ha la finalità di rafforzare la credibilità del tutto, dissipando qualsiasi forma di dissenso o dubbi.
L’uso dell’AI è centrale perché consente di mantenere conversazioni fluide nella lingua della vittima con un tono coerente, tempi di risposta credibili e una varietà di stili sufficiente per mascherare l’automazione. Il gruppo sfrutta modelli generativi per produrre contenuti finanziari verosimili, per allineare le narrazioni a diversi contesti culturali e per orchestrare interazioni private 1-to-1 che simulano il supporto di pari più esperti. Tutto questo avviene senza exploit o codice malevolo: è solo un lavoro di manipolazione emotiva e cognitiva che mira a far collassare lo spirito critico della vittima.
La finzione si regge anche su riferimenti costanti a partnership con operatori noti, citazioni di Oppenheimer, un presunto programma di trading istituzionale, oltre alla presentazione di OPCOPRO come entità registrata negli USA. Una costellazione di siti clone, press release su piattaforme di syndication e articoli propone la narrazione in modo quasi identico, portando la vittima a trovare in rete la conferma di un’azienda regolamentata, che in realtà esiste solo all’interno della bolla narrativa della truffa.
Una volta consolidata la fiducia, la trama entra nel suo atto centrale: all’utente viene concesso l’accesso all’esclusiva piattaforma di trading OPCOPRO, con la promessa di rendimenti compresi tra il 370 e il 700 per cento in pochi mesi. La piattaforma è un’app, distribuita tramite Google Play e App Store (che rafforzano indirettamente la fiducia), ormai rimossa a seguito delle segnalazioni, che dal punto di vista tecnico è poco più che un wrapper WebView. Significa che di fatto non elabora dati di mercato, non implementa logiche di trading, non gestisce portafogli in locale. Tutto ciò che l’utente vede (grafici, saldi, esecuzioni, profitti, contratti) viene generato dai server che fanno capo all’infrastruttura controllata dagli attaccanti.
Prima di autorizzare il trading, la piattaforma richiede una procedura di KYC molto simile a quelle dei broker legittimi, grazie alla quale i threat actor collezionano nome completo degli utenti, scansioni di documenti d’identità e fotografie. In altre parole, questa è la fase che permette agli attaccanti di portare avanti un furto di identità che possono essere rivendute o usate in ulteriori attacchi. Lo step successivo è l’accesso ai fondi da usare per gli investimenti: bonifici oppure portafogli di criptovalute, che confluiscono su conti e wallet sotto il controllo diretto degli attaccanti. L’app mostra saldi aggiornati, operazioni apparentemente coerenti con l’andamento dei mercati, profitti crescenti e conferme contrattuali, continuando ad alimentare quell’illusione di operatività reale che spinge la vittima a versare ulteriori somme, fino al prosciugamento delle risorse finanziarie della vittima, che avviene gradualmente per posticipare il momento in cui ci sarà contezza di quello che sta accadendo.
Check Point definisce questo modello malicious by design, not by code e lo indica come segnale di una trasformazione profonda del rischio mobile: il perimetro della minaccia non si esaurisce nell’app in sé, ma include una sorta di palcoscenico in cui l’app viene calata e opera.