Pesquisadores da Infoblox revelaram um ecossistema criminoso completo, operado a partir do Telegram, que vende ferramentas e infraestrutura de phishing para destravar iPhones roubados. Em meio aos mais de 7,35 milhões de aparelhos roubados anualmente apenas nos Estados Unidos, a análise descobriu mais de 10 mil domínios falsificando a Apple e identificou serviços batizados como “FMI OFF” e “iCloud Webkit”, projetados para iludir vítimas e desativar mecanismos de proteção como o Activation Lock — transformando aparelhos travados em mercadoria revendível por centenas de dólares.
A investigação começou por uma situação corriqueira: pesquisadores ajudando um amigo a recuperar um smartphone roubado. Esse fio acabou conduzindo a equipe da Infoblox a um marketplace clandestino estruturado em grupos do Telegram, dedicado a destravar iPhones roubados e contornar o Activation Lock, mecanismo que torna aparelhos perdidos efetivamente inúteis para o ladrão comum.
O Activation Lock permite ao dono ativar remotamente o bloqueio do dispositivo — e até de componentes individuais — após o roubo. A medida funcionou como esperado nos últimos anos, derrubando o valor de revenda de dispositivos travados. Mas, longe de desistir, o ecossistema criminoso se reorganizou em torno de uma cadeia de fornecimento digital dedicada justamente a remover essa proteção.
“Um dispositivo bloqueado é praticamente inútil no mercado negro, enquanto um modelo high-end desbloqueado é fácil de revender e pode render centenas de dólares. Por isso surgiu um marketplace clandestino que cobre toda a cadeia digital, da quebra ao smishing”, escreveram os pesquisadores.
Curiosamente, os pesquisadores destacaram que esperavam encontrar interesse em extrair dados dos aparelhos — informações pessoais e corporativas que poderiam valer fortunas em mercados de fraude. Mas a realidade observada foi o oposto: o foco primário é financeiro e rápido, voltado à revenda do hardware.
A operação combina engenharia social, phishing em larga escala e ferramentas técnicas para criar uma cadeia industrializada. Os elementos identificados pela Infoblox incluem:
A Infoblox detecta mais de 800 mil domínios falsificando a Apple por ano. Ao analisar características de DNS associadas às páginas de phishing originais, os pesquisadores rastrearam o ecossistema até identificar mais de 10 mil domínios usados nessa infraestrutura criminosa específica.
O caso é um lembrete contundente de como o crime cibernético se profissionalizou ao redor do modelo “Crime as a Service”. Ladrões de rua nas grandes cidades não precisam mais ter qualquer conhecimento técnico — basta levar o dispositivo a um intermediário que terceiriza o processo de unlocking para operadores remotos especializados, em geral pagando preços modestos por serviço.
O paralelo mais nítido é com o ecossistema de phishing-as-a-service que já dominou o cenário de credential theft em ambiente corporativo (kits como EvilProxy, Tycoon 2FA e outros). A mesma lógica — kits personalizáveis, infraestrutura compartilhada, suporte via Telegram, pagamento adiantado — está agora aplicada ao roubo físico de smartphones, criando uma ponte entre crime de rua e cibercrime organizado.
O uso de áudios em IA imitando o suporte Apple representa um salto qualitativo importante. Em 2024 e 2025 vimos golpes via deepfake de voz visando empresas; em 2026, essa mesma tecnologia chega ao consumidor final, usada para extrair códigos de desbloqueio em ligações que parecem absolutamente legítimas. Para o usuário comum, distinguir uma ligação real do suporte de uma fraude bem-produzida está se tornando praticamente impossível sem uma postura de desconfiança sistemática.
Para a Apple e fabricantes concorrentes, o caso reabre uma discussão técnica: o Activation Lock continua sendo um excelente dissuasor, mas precisa ser complementado por defesas adicionais contra o vetor de engenharia social que pede ao próprio dono que desabilite a proteção.
Fonte: Help Net Security
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…