Marketplace no Telegram industrializa o desbloqueio de iPhones roubados com kits de phishing e voz por IA

Pesquisadores da Infoblox revelaram um ecossistema criminoso completo, operado a partir do Telegram, que vende ferramentas e infraestrutura de phishing para destravar iPhones roubados. Em meio aos mais de 7,35 milhões de aparelhos roubados anualmente apenas nos Estados Unidos, a análise descobriu mais de 10 mil domínios falsificando a Apple e identificou serviços batizados como “FMI OFF” e “iCloud Webkit”, projetados para iludir vítimas e desativar mecanismos de proteção como o Activation Lock — transformando aparelhos travados em mercadoria revendível por centenas de dólares.

O que aconteceu

A investigação começou por uma situação corriqueira: pesquisadores ajudando um amigo a recuperar um smartphone roubado. Esse fio acabou conduzindo a equipe da Infoblox a um marketplace clandestino estruturado em grupos do Telegram, dedicado a destravar iPhones roubados e contornar o Activation Lock, mecanismo que torna aparelhos perdidos efetivamente inúteis para o ladrão comum.

O Activation Lock permite ao dono ativar remotamente o bloqueio do dispositivo — e até de componentes individuais — após o roubo. A medida funcionou como esperado nos últimos anos, derrubando o valor de revenda de dispositivos travados. Mas, longe de desistir, o ecossistema criminoso se reorganizou em torno de uma cadeia de fornecimento digital dedicada justamente a remover essa proteção.

“Um dispositivo bloqueado é praticamente inútil no mercado negro, enquanto um modelo high-end desbloqueado é fácil de revender e pode render centenas de dólares. Por isso surgiu um marketplace clandestino que cobre toda a cadeia digital, da quebra ao smishing”, escreveram os pesquisadores.

Curiosamente, os pesquisadores destacaram que esperavam encontrar interesse em extrair dados dos aparelhos — informações pessoais e corporativas que poderiam valer fortunas em mercados de fraude. Mas a realidade observada foi o oposto: o foco primário é financeiro e rápido, voltado à revenda do hardware.

Como o ataque funciona

A operação combina engenharia social, phishing em larga escala e ferramentas técnicas para criar uma cadeia industrializada. Os elementos identificados pela Infoblox incluem:

• Ferramenta de unlocking para Windows que faz jailbreak automático em modelos mais antigos de iPhone e extrai identificadores de aparelhos conectados
• Serviços “FMI OFF” (Find My iPhone Off) projetados para convencer o legítimo dono a desativar o Find My iPhone
• Kits “iCloud Webkit” usados em campanhas de phishing e smishing para roubar credenciais Apple ID
• Bots pagos capazes de localizar informações do dono original, cruzar bancos de credenciais vazadas e rastrear dispositivos associados ao iCloud
• Software de chamadas com voz gerada por IA e áudios pré-gravados imitando o suporte da Apple em múltiplos idiomas
• Templates de smishing personalizáveis impersonando Apple, Xiaomi, Samsung e outras marcas, ajustáveis com nome da vítima, comprimento esperado da senha e até localização forjada no mapa

A Infoblox detecta mais de 800 mil domínios falsificando a Apple por ano. Ao analisar características de DNS associadas às páginas de phishing originais, os pesquisadores rastrearam o ecossistema até identificar mais de 10 mil domínios usados nessa infraestrutura criminosa específica.

Quem é afetado

• Vítimas diretas: donos de iPhones roubados, especialmente modelos premium
• Usuários corporativos cujos dispositivos foram fornecidos pela empresa — com risco adicional de dados sensíveis
• Marcas impersonadas (Apple, Xiaomi, Samsung) cujos clientes são alvo de spoofing
• Operadores de mensageria e plataformas de busca que servem como vetor de smishing
• Mercados de revenda online onde dispositivos desbloqueados retornam à circulação

Análise

O caso é um lembrete contundente de como o crime cibernético se profissionalizou ao redor do modelo “Crime as a Service”. Ladrões de rua nas grandes cidades não precisam mais ter qualquer conhecimento técnico — basta levar o dispositivo a um intermediário que terceiriza o processo de unlocking para operadores remotos especializados, em geral pagando preços modestos por serviço.

O paralelo mais nítido é com o ecossistema de phishing-as-a-service que já dominou o cenário de credential theft em ambiente corporativo (kits como EvilProxy, Tycoon 2FA e outros). A mesma lógica — kits personalizáveis, infraestrutura compartilhada, suporte via Telegram, pagamento adiantado — está agora aplicada ao roubo físico de smartphones, criando uma ponte entre crime de rua e cibercrime organizado.

O uso de áudios em IA imitando o suporte Apple representa um salto qualitativo importante. Em 2024 e 2025 vimos golpes via deepfake de voz visando empresas; em 2026, essa mesma tecnologia chega ao consumidor final, usada para extrair códigos de desbloqueio em ligações que parecem absolutamente legítimas. Para o usuário comum, distinguir uma ligação real do suporte de uma fraude bem-produzida está se tornando praticamente impossível sem uma postura de desconfiança sistemática.

Para a Apple e fabricantes concorrentes, o caso reabre uma discussão técnica: o Activation Lock continua sendo um excelente dissuasor, mas precisa ser complementado por defesas adicionais contra o vetor de engenharia social que pede ao próprio dono que desabilite a proteção.

Recomendações práticas

• Nunca desabilitar Find My iPhone, iCloud ou Activation Lock em resposta a mensagens, e-mails ou ligações que dizem ser do suporte Apple
• Caso receba uma comunicação suspeita após perder o dispositivo, contatar a Apple diretamente pelo aplicativo Suporte ou pelo site oficial — nunca pelos links recebidos
• Configurar uma senha forte e única para o Apple ID e ativar autenticação em dois fatores via dispositivo de confiança
• Manter os dados de contato de recuperação atualizados — números de telefone e e-mails antigos podem ser explorados em casos de roubo
• Para empresas que fornecem iPhones a funcionários: implementar MDM com bloqueio remoto e relatórios de tentativas de desativação do Find My iPhone
• Treinar funcionários para reconhecer smishing impersonando marcas de fabricantes; reportar mensagens suspeitas ao setor de segurança
• Em caso de roubo: bloquear o dispositivo via iCloud imediatamente, registrar boletim de ocorrência e ignorar qualquer comunicação subsequente solicitando códigos ou desativação de proteções

Fonte: Help Net Security