Marketplace no Telegram industrializa o desbloqueio de iPhones roubados com kits de phishing e voz por IA

Pesquisadores da Infoblox revelaram um ecossistema criminoso completo, operado a partir do Telegram, que vende ferramentas e infraestrutura de phishing para destravar iPhones roubados. Em meio aos mais de 7,35 milhões de aparelhos roubados anualmente apenas nos Estados Unidos, a análise descobriu mais de 10 mil domínios falsificando a Apple e identificou serviços batizados como “FMI OFF” e “iCloud Webkit”, projetados para iludir vítimas e desativar mecanismos de proteção como o Activation Lock — transformando aparelhos travados em mercadoria revendível por centenas de dólares.

O que aconteceu

A investigação começou por uma situação corriqueira: pesquisadores ajudando um amigo a recuperar um smartphone roubado. Esse fio acabou conduzindo a equipe da Infoblox a um marketplace clandestino estruturado em grupos do Telegram, dedicado a destravar iPhones roubados e contornar o Activation Lock, mecanismo que torna aparelhos perdidos efetivamente inúteis para o ladrão comum.

O Activation Lock permite ao dono ativar remotamente o bloqueio do dispositivo — e até de componentes individuais — após o roubo. A medida funcionou como esperado nos últimos anos, derrubando o valor de revenda de dispositivos travados. Mas, longe de desistir, o ecossistema criminoso se reorganizou em torno de uma cadeia de fornecimento digital dedicada justamente a remover essa proteção.

“Um dispositivo bloqueado é praticamente inútil no mercado negro, enquanto um modelo high-end desbloqueado é fácil de revender e pode render centenas de dólares. Por isso surgiu um marketplace clandestino que cobre toda a cadeia digital, da quebra ao smishing”, escreveram os pesquisadores.

Curiosamente, os pesquisadores destacaram que esperavam encontrar interesse em extrair dados dos aparelhos — informações pessoais e corporativas que poderiam valer fortunas em mercados de fraude. Mas a realidade observada foi o oposto: o foco primário é financeiro e rápido, voltado à revenda do hardware.

Como o ataque funciona

A operação combina engenharia social, phishing em larga escala e ferramentas técnicas para criar uma cadeia industrializada. Os elementos identificados pela Infoblox incluem:

  • Ferramenta de unlocking para Windows que faz jailbreak automático em modelos mais antigos de iPhone e extrai identificadores de aparelhos conectados
  • Serviços “FMI OFF” (Find My iPhone Off) projetados para convencer o legítimo dono a desativar o Find My iPhone
  • Kits “iCloud Webkit” usados em campanhas de phishing e smishing para roubar credenciais Apple ID
  • Bots pagos capazes de localizar informações do dono original, cruzar bancos de credenciais vazadas e rastrear dispositivos associados ao iCloud
  • Software de chamadas com voz gerada por IA e áudios pré-gravados imitando o suporte da Apple em múltiplos idiomas
  • Templates de smishing personalizáveis impersonando Apple, Xiaomi, Samsung e outras marcas, ajustáveis com nome da vítima, comprimento esperado da senha e até localização forjada no mapa

A Infoblox detecta mais de 800 mil domínios falsificando a Apple por ano. Ao analisar características de DNS associadas às páginas de phishing originais, os pesquisadores rastrearam o ecossistema até identificar mais de 10 mil domínios usados nessa infraestrutura criminosa específica.

Quem é afetado

  • Vítimas diretas: donos de iPhones roubados, especialmente modelos premium
  • Usuários corporativos cujos dispositivos foram fornecidos pela empresa — com risco adicional de dados sensíveis
  • Marcas impersonadas (Apple, Xiaomi, Samsung) cujos clientes são alvo de spoofing
  • Operadores de mensageria e plataformas de busca que servem como vetor de smishing
  • Mercados de revenda online onde dispositivos desbloqueados retornam à circulação

Análise

O caso é um lembrete contundente de como o crime cibernético se profissionalizou ao redor do modelo “Crime as a Service”. Ladrões de rua nas grandes cidades não precisam mais ter qualquer conhecimento técnico — basta levar o dispositivo a um intermediário que terceiriza o processo de unlocking para operadores remotos especializados, em geral pagando preços modestos por serviço.

O paralelo mais nítido é com o ecossistema de phishing-as-a-service que já dominou o cenário de credential theft em ambiente corporativo (kits como EvilProxy, Tycoon 2FA e outros). A mesma lógica — kits personalizáveis, infraestrutura compartilhada, suporte via Telegram, pagamento adiantado — está agora aplicada ao roubo físico de smartphones, criando uma ponte entre crime de rua e cibercrime organizado.

O uso de áudios em IA imitando o suporte Apple representa um salto qualitativo importante. Em 2024 e 2025 vimos golpes via deepfake de voz visando empresas; em 2026, essa mesma tecnologia chega ao consumidor final, usada para extrair códigos de desbloqueio em ligações que parecem absolutamente legítimas. Para o usuário comum, distinguir uma ligação real do suporte de uma fraude bem-produzida está se tornando praticamente impossível sem uma postura de desconfiança sistemática.

Para a Apple e fabricantes concorrentes, o caso reabre uma discussão técnica: o Activation Lock continua sendo um excelente dissuasor, mas precisa ser complementado por defesas adicionais contra o vetor de engenharia social que pede ao próprio dono que desabilite a proteção.

Recomendações práticas

  • Nunca desabilitar Find My iPhone, iCloud ou Activation Lock em resposta a mensagens, e-mails ou ligações que dizem ser do suporte Apple
  • Caso receba uma comunicação suspeita após perder o dispositivo, contatar a Apple diretamente pelo aplicativo Suporte ou pelo site oficial — nunca pelos links recebidos
  • Configurar uma senha forte e única para o Apple ID e ativar autenticação em dois fatores via dispositivo de confiança
  • Manter os dados de contato de recuperação atualizados — números de telefone e e-mails antigos podem ser explorados em casos de roubo
  • Para empresas que fornecem iPhones a funcionários: implementar MDM com bloqueio remoto e relatórios de tentativas de desativação do Find My iPhone
  • Treinar funcionários para reconhecer smishing impersonando marcas de fabricantes; reportar mensagens suspeitas ao setor de segurança
  • Em caso de roubo: bloquear o dispositivo via iCloud imediatamente, registrar boletim de ocorrência e ignorar qualquer comunicação subsequente solicitando códigos ou desativação de proteções

Fonte: Help Net Security

TheNinja

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

13 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

13 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

13 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

17 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

17 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

17 horas ago