Tropa do Arranca: hackers BR usam engenharia social para acessar iPhone roubado

Criminosos brasileiros estão evoluindo as táticas de roubo do físico para o digital e combinando ambas em seus ataques: um grupo conhecido como Tropa do Arranca não se limita apenas a furtar celulares, mas usa kits de phishing e truques de engenharia social para desbloquear os aparelhos e extrair mais dados da vítima.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

Com inteligência de código aberto (OSINT), pesquisadores de segurança da Criminal IP e da Clandestine analisaram os métodos dos hackers e explicaram como todo o roubo é feito, com foco especial nas táticas para acesso do iCloud, nuvem utilizada por usuários de iPhone.

Tropa do Arranca: roubo físico e digital

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Para descobrir como os cibercriminosos atuam, os especialistas notaram um fragmento suspeito no código fonte HTML da página de login do iCloud na qual as vítimas caíram. Um valor no campo da Conta Apple chamado “kittropadoarranc_Tropa” é uma assinatura digital do grupo, já conhecido no ecossistema do crime virtual brasileiro.

Os hackers em questão desbloqueiam iPhones roubados ou perdidos, revendem os dispositivos em mercados clandestinos e acessam dados bancários e outras informações sensíveis. São usados grupos no Telegram para coordenar o esforço criminoso.

A engenharia social que engana a vítima é complexa: os bandidos imitam a interface da ferramenta “Encontre meu iPhone” com coordenadas reais (-23.5557714, -46.6395571) apontando para a Avenida 23 de Maio próxima ao Viaduto Jaceguai, na cidade de São Paulo. O usuário acredita estar vendo para onde o aparelho teria sido levado e é levado a clicar na mensagem que urge tomar ações imediatas.

No desespero para recuperar o aparelho, a vítima acessa um iCloud falso com suas credenciais da Apple, o que dá aos cibercriminosos o acesso à conta. Não é uma vulnerabilidade técnica, mas sim uma engenharia social complexa baseada em localização que mexe com a confiança da vítima. Vários domínios fraudulentos criados recentemente são usados no golpe, tais como:

• icloudbrasil[.]net;
• applerastreio[.]net;
• rastreioapple[.]net;
• icloudseguro[.]com.

Para evitar ser afetado pelo ataque, nunca entre com suas credenciais iCloud em links recebidos por SMS, WhatsApp ou e-mail após ter algum aparelho roubado. Só acesse o site oficial da Apple diretamente para verificar o status da sua conta e use autenticação por dois ou mais fatores para recuperar seu acesso.

Também vale reportar o roubo de aparelhos para os canais oficiais da fabricante e operadoras telefônicas. Embora a Tropa do Arranca não seja considerada uma rede hacker global, a campanha se mostra cada vez mais organizada e provavelmente se expandirá para outros lugares do Brasil.

Veja mais:

• Ironia pura: Meta processa golpistas após faturar com anúncios falsos
• Como novos malwares usam matemática e o seu mouse para espionar em silêncio
• Seu IP na cena do crime: o perigo invisível do proxyware

Fonte: Criminal IP