Criminosos exploram falhas de segurança para invadir contas e solicitar dinheiro aos contatos sem deixar rastros visíveis no aplicativo.
Recentemente, criminosos têm invadido contas do WhatsApp em dispositivos iPhones sem qualquer ação da vítima. Isso significa que o ataque pode ocorrer sem a necessidade de clicar em links ou compartilhar códigos de verificação.
Dessa forma, os golpistas conseguem enviar mensagens solicitando transferências de dinheiro para os contatos da vítima sem deixar rastros visíveis. Essa nova abordagem do crime foi descoberta nas últimas semanas na Itália por uma empresa especializada chamada Forenser.
A vítima não percebe a invasão do aplicativo
O padrão do golpe chamou a atenção, já que todas as vítimas relataram a mesma situação incomum. As mensagens pedindo dinheiro eram enviadas do próprio número da vítima para contatos recentes, sem que ela notasse nada de estranho na seção “Aparelhos conectados” do WhatsApp.
A ausência de dispositivos conectados descartou a possibilidade do golpe tradicional de clonagem. Nesse tipo de fraude conhecido como “pareamento fantasma”, o criminoso induz a vítima a escanear um QR code malicioso. No caso da Itália, a situação foi distinta, já que não houve nenhuma ação da vítima.
Investigação do ataque invisível
A primeira pista surgiu da análise de registros internos de um dispositivo iOS invadido. Os peritos da Forenser descobriram uma sequência de eventos conhecidos como ressincronização gerados pelo WhatsApp, indicando que o aplicativo estava tentando renegociar a sessão com os servidores repetidamente.
Esse padrão é anômalo e ocorre quando dois dispositivos tentam controlar a mesma conta simultaneamente. O dispositivo da vítima e o do atacante tentam se reautenticar nos servidores do WhatsApp, mas nenhum consegue expulsar o outro.
Falhas de segurança que possibilitaram o ataque
Os pesquisadores perceberam que todos os casos envolviam a versão iOS 16. Isso levou a equipe a investigar vulnerabilidades conhecidas nessa versão da Apple, onde foram encontradas duas falhas que provavelmente foram exploradas em conjunto.
A primeira falha é identificada pelo código ‘CVE-2025-43300’, que diz respeito a um problema na biblioteca de processamento de imagens do iOS. Um atacante poderia explorar essa vulnerabilidade enviando uma imagem maliciosa que corrompe a memória do sistema. Esse problema foi corrigido pela Apple em setembro de 2025, após a descoberta de que estava sendo ativamente explorado.
A segunda falha, específica do WhatsApp, é designada como ‘CVE-2025-55177’, permitindo que qualquer conteúdo seja processado de URLs não autorizadas através de mensagens de sincronização de dispositivos.
Versões do iOS anteriores a 16.7.12 são vulneráveis, e todos os aparelhos comprometidos analisados pela Forenser rodaram essas versões.
- iPhone 8;
- iPhone X;
- iPhone XR;
- iPhone XS;
- iPhone 11;
- iPhone SE;
- iPhone 12;
- iPhone 13;
- iPhone 14.
Registros dos dispositivos afetados mostraram múltiplos erros gerados pela biblioteca de processamento de imagens, ocorrendo nos mesmos horários em que as contas do WhatsApp foram comprometidas.
Criminosos extraem dados sem autorização
A equipe da Forenser reproduziu uma parte do ataque em laboratório utilizando um aparelho de teste com uma versão vulnerável do iOS 16. O experimento confirmou que um atacante que explora a vulnerabilidade pode extrair material criptográfico necessário para a conexão da sessão do WhatsApp diretamente do dispositivo comprometido.
Esse material pode ser usado para criar um novo cliente do WhatsApp em outro lugar, conectado à conta da vítima, sem disparar notificações visíveis no celular da vítima ou no aplicativo. É nesse momento que a sequência contínua de ressincronização nos registros é gerada, com o celular legítimo e o cliente do atacante disputando a sessão.
Golpe anterior usava método diferente de clonagem
No mês de dezembro, atacantes foram encontrados explorando o recurso de vinculação de aparelhos do WhatsApp para sequestrar contas utilizando códigos de pareamento. Essa campanha foi chamada de “Emparelhamento Fantasma”. Diferente do ataque atual, este método exigia que a vítima inserisse um código manualmente.
A cadeia de ataque começava com as vítimas recebendo mensagens de contatos confiáveis, que continham links com visualização semelhante ao Facebook. Os links levavam a domínios falsos que imitavam o Facebook usando nomes relacionados a fotos.
As vítimas eram direcionadas para uma página falsa que pedia verificação. Após seguir uma sequência de passos aparentemente inofensivos, as vítimas concediam acesso total às suas contas sem roubo de senha ou troca de chip.
Como se proteger desse tipo de invasão
Como se trata de um ataque invisível que não requer ação da vítima, as soluções de segurança tradicionais não são eficazes. A proteção mais eficaz consiste em atualizar o iOS para a versão mais recente disponível. A falha CVE-2025-43300 foi corrigida em versões posteriores ao iOS 16.
Para quem suspeita que a conta já foi comprometida, a Forenser recomenda algumas medidas práticas. Bloquear conversas usando o recurso de bloqueio de chat do WhatsApp impede que atacantes leiam ou enviem mensagens nessas conversas. Atualizar o aplicativo ou reinstalá-lo em um dispositivo novo pode ser eficaz para expelir a sessão do atacante.
Um detalhe importante é que, se receber pedidos suspeitos de dinheiro pelo WhatsApp, não responda no mesmo chat. Ao invés disso, ligue diretamente para a pessoa. Isso se justifica porque o atacante pode visualizar sua resposta antes do legítimo proprietário da conta.
Acompanhe o TecMania nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.