Com 56 mil downloads, pacote falso de API sequestra contas do WhatsApp

Em uma nova maneira de usar a legitimidade do WhatsApp para disseminar softwares maliciosos, criminosos digitais estão propagando um pacote de API falso da plataforma para roubar perfis, contatos e tokens de login de usuários.

• Campanha de phishing rouba contas no WhatsApp via código de pareamento
• Golpe do "compartilhamento de tela" usa WhatsApp para roubar senhas ao vivo

Segundo especialistas de cibersegurança da Koi Security, a operação consiste em um pacote corrompido chamado “lotusbail”, que está em ativa circulação no NPM e já foi baixado mais de 56 mil vezes desde seu surgimento, datado de maio de 2025.

À primeira vista, o pacote parece ser totalmente funcional, mas logo a ação criminosa começa a tomar forma com a coleta de credenciais do WhatsApp do usuário, assim como também abre espaço para a interceptação de mensagens e a instalação de um backdoor extremamente persistente. O software malicioso ainda criptografa tudo que vê pela frente para enviar essas informações para o servidor ilegal.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Outro ponto que acendeu o alerta vermelho é a maneira como o pacote de API falso consegue vincular o dispositivo do hacker à conta legítima da vítima, já que o programa corrompido captura tokens de autenticação e outras credenciais sensíveis para obter acesso total ao perfil do usuário na plataforma.

Pareamento malicioso

A questão do pareamento é algo crucial para que a ação criminosa se concretize pelo WhatsApp. De acordo com o relatório, o pacote falso conta com uma série de recursos ocultos que agem em conjunto para criar um acesso persistente à conta da vítima, fazendo isso por meio da vinculação, que sempre exige um código para funcionar.

Logo, uma vez que o usuário usa o processo de autenticação da plataforma, após instalar o API corrompido, o que acontece é uma conexão permanente entre o dispositivo do hacker e o legítimo. Tudo isso sem que a vítima tenha conhecimento do que está ocorrendo nos bastidores.

Além disso, mesmo que o pacote falso do WhatsApp seja desinstalado, os criminosos continuam com o acesso da conta comprometida em mãos. Afinal, o dispositivo malicioso seguirá vinculado ao perfil até que esse processo seja encerrado na aba de configurações do aplicativo.

Operando normalmente, o pacote falso de API também ativa o código de pareamento do backdoor, fazendo com que a conta seja automaticamente vinculada ao sistema malicioso assim que o usuário acessa seu perfil.

Para passar despercebido, o conjunto comprometido ainda usa recursos de antidepuração para que o malware entre em um loop infinito, ficando “congelado”, assim que softwares de depuração são ativados.

Leia também:

• Malware evolui e usa IA para criar vírus que ataca via WhatsApp Web no Brasil
• Criminosos usam videochamada do WhatsApp para limpar sua conta no banco
• O que fazer quando cair num golpe de WhatsApp?

Fonte: Koi Security