Golpistas usam brecha no copia e cola de celulares e computadores para roubar dados. A nova modalidade explorada por cibercriminosos é conhecida como sequestro de área de transferência (do termo em inglês, clipboard hijacking), e afeta usuários de Android e iOS. No Brasil, a técnica tem sido utilizada para roubar dados de PIX, acessar contas de bancos e realizar transferências.
Existem algumas maneiras pelas quais é possível cair nesse tipo de golpe. Entre as mais comuns estão infecção por apps e softwares pirateados, baixados por fora das lojas de aplicativo oficiais do Android e iOS. Os golpistas também miram e-mails com anexos ou arquivos executáveis contaminados, e mais recentemente, foram descobertas campanhas usando sites falsos que usam CAPTCHA, a verificação de humanidade, ou notificações pop-up que injetam código malicioso no dispositivo.
O tipo de malware envolvido nesta modalidade é silencioso, permitindo que o programa não mostre alertas e deixe rastros visíveis. Ele é, basicamente, um espião adormecido: o vírus fica silencioso no dispositivo até que o usuário copie algo que pareça valioso, como endereços de cripto – compostos por longas sequências hexadecimais, chaves PIX e números de contas internacionais.
Alguns dos malwares são capazes de distinguir diferentes formatos e, na hora que o usuário cola a informação copiada, ele automaticamente gera um endereço compatível do hacker, para evitar desconfiança do usuário.
Android e iOS são alvos deste ataque
Alguns dos casos registrados em macOS e iOS envolviam uma brecha no sistema operacional iOS na versão 14, lançada em 2020, que permitia que qualquer app instalado no celular lesse, automaticamente, o conteúdo na área de transferência. O usuário não tinha a opção de ativar ou desativar essa permissão nos apps. Por isso, tudo que passava pelo “copia e cola”, era visível para todos os aplicativos.
O risco era agravado por conta de um recurso útil, mas que explorava ainda mais a vulnerabilidade dos produtos Apple – o compartilhamento universal. Usuários de iPhone, Mac e iPad, podem sincronizar as áreas de transferência de diversos dispositivos, o que amplia o risco, porque compartilha os dados com todos os apps baixados em cada aparelho.
Em 2020, pesquisadores de cibersegurança revelaram que mais de 50 apps populares como TikTok, LinkedIn e Reddit estavam constantemente lendo a área de transferência do iOS, mesmo sem necessidade funcional. Então surgiram aplicativos falsos projetados para explorar essa vulnerabilidade e roubar endereços de criptomoedas e dados bancários.
Depois das investigações, a Apple reforçou a segurança nas atualizações do sistema e passou a disponibilizar notificações pop-up que mostram a origem do conteúdo copiado, exigir permissão explícita para colar conteúdos entre apps e reforçaram proteções de sandbox, recurso que restringe as permissões de aplicativos para ajudar a identificar e entender potenciais ameaças no dispositivo.
Em aparelhos Android, ocorria o mesmo problema registrado no iOS – todos os apps tinham permissão para ler a área de transferência, mesmo em background. A partir de 2019, o sistema operacional restringiu o acesso aos conteúdos copiados em segundo plano, deixando apenas apps de teclado padrão ou em uso ativo com acesso a esse tipo de texto. Em 2022, com o Android 13 introduziu a expiração automática da área de transferência, que apaga os conteúdos copiados após determinado tempo, e notificações que avisam quando um aplicativo lê as informações copiadas.
Os riscos para Android são maiores, apesar das atualizações de defesa, uma vez que apps falsos podem burlar as regras de segurança do Google e aparecer na Play Store normalmente, se disfarçando de aplicativos de limpeza de memória ou até editores de PDF para interceptar dados bancários copiados.
Esta modalidade de golpe é perigosa porque é difícil de ser identificada. Muitas vezes, para o usuário, a troca de informações passa despercebida. Os antivírus têm dificuldade de bloquear este tipo de malware, pois muitos deles são contidos em arquivos leves e ofuscados. Além disso, a maioria das transações feitas em plataformas de criptomoedas são irreversíveis, e as mudanças na política de estorno de PIX são recentes e não tão usadas por muitos usuários.
Como se proteger do golpe do copiar e colar?
Para se proteger é recomendável revisar hábitos inseguros ao navegar apps e copiar e colar conteúdos.
- Sempre verificar os primeiros e últimos caracteres do endereço antes de confirmar;
- Usar QR Codes para transferências bancárias;
- Confirmar endereços por múltiplos canais antes de enviar;
- Evitar instalar apps e softwares pirateados;
- Usar antivírus/antimalware atualizados;
- Manter sistemas operacionais na versão mais recente.
Para ficar por dentro de notícias de cibersegurança e aprender a se proteger de golpes, acompanhe o TecMundo no X, Instagram, Facebook e YouTube, e se inscreva em nossa newsletter.
