Na última segunda-feira (24), a Divisão de Segurança Cibernética dos Estados Unidos (CISA) emitiu um alerta para usuários de mensageiros para celular. Segundo a entidade, grupos de cibercriminosos estão “táticas sofisticadas de identificação de alvos e engenharia social” para obter acesso aos aplicativos e, assim, instalar malware – programas e aplicações com códigos maliciosos, popularmente conhecidos como “vírus”.
O alerta da CISA, na prática, trata-se de um compilado de várias ameaças envolvendo mensageiros identificadas ao longo de 2025. O texto menciona o spyware LANDFALL e o trojan ClayRat como exemplos de ataques graves aos usuários – que também cobrimos no TecMundo Security. Abaixo, falaremos sobre alguns deles e como se proteger.
Engenharia social como arma dos cibercriminosos
Entre as táticas mais comuns para ataques em mensageiros, está o uso de métodos de manipulação psicoemocional – categorizado pelo termo “phishing”, do termo em inglês para “pescaria”. Nesse tipo de abordagem, criminosos entram em contato com inúmeras vítimas por mensagens diretas, e-mails, e SMS, frequentemente se passando por uma empresa ou autoridade.
Nas mensagens, é comum encontrar situações de apelo à urgência: um boleto vencido, pedido de pagamento para receber uma encomenda, agendamento de um exame para renovar a habilitação. Em todos esses cenários, o método envolve usar cenários de emergência para distrair o senso crítico dos usuários.
Uma vez “fisgadas”, as vítimas podem ser induzidas a fazer pagamentos, ceder credenciais e até mesmo instalar os aplicativos maliciosos. Justamente, o alerta da CISA é para o último caso, quando os criminosos conseguem obter acesso irrestrito aos celulares das vítimas por meio dessas instalações – comprometendo dados bancários e financeiros no processo.
WhatsApp permitiu ataques automatizados no iPhone e Android
Outra tática destacada no alerta da CISA envolve as chamadas “vulnerabilidades de zero-clique”. Assim como o nome sugere, são brechas que permitem o comprometimento de um dispositivo sem qualquer interação direta do usuário.
Embora pareçam quase ficcionais, considerando o grau de ameaça, essas vulnerabilidades estão presentes tanto em PCs quanto celulares – seja iPhone ou Android.
Por exemplo, há o recente caso de uma falha inédita em dispositivos Samsung Galaxy, que utiliza o envio de imagens no WhatsApp como vetor de ataque. Uma vez explorada, a vulnerabilidade permite que criminosos instalem um vírus espião, capaz de coletar dados pessoais e até gravar microfone. Você pode ler mais na reportagem abaixo:
Similarmente, apesar de todas as funções de segurança da Apple, nem mesmo os iPhones estão imunes de ameaças de clique-zero. Ainda em setembro deste ano, o WhatsApp também corrigiu uma brecha deste tipo, que permitia aos criminosos a possibilidade de explorar o processo de sincronização com dispositivos. Falamos sobre o caso no link a seguir:
Quem são os principais alvos dos ataques por WhatsApp?
Segundo o comunicado da CISA, os principais alvos de ataques por meio de mensageiros como o WhatsApp e Telegram são frutos da “oportunidade”. Em outras palavras, pode se tratar de qualquer indivíduo que, por descuido ou desconhecimento, acaba sendo “fisgado” pelas abordagens criminosas.
No Brasil, muitas dessas abordagens já se tornaram populares: há o caso dos códigos de rastreio falsos na Amazon, ou as páginas falsas do governo. Porém, vale lembrar que os criminosos costumam adotar uma postura rápida de adaptação, e sempre variam suas táticas de engenharia social. Assim, é importante desconfiar de qualquer comunicação não-oficial ou proposta que seja “boa demais”, por exemplo.
Em paralelo, a entidade norte-americana ainda detalha que os cibercriminosos tentam focar em “indivíduos de alto-valor”. Esses casos envolvem ex-militares ou militares ativos, figuras políticas e líderes de organizações civis.
Como se proteger de ataques por mensageiros, como o WhatsApp?
Para todos os usuários de mensageiros, a CISA sugere usa série de medidas para mitigar riscos e evitar a exposição indevida na internet. O material é parte do Guia de Melhores Práticas para Comunicação Mobile, publicado pela própria entidade.
Confira abaixo, alguma das dicas:
Para todos os usuários
- Use apenas comunicação com criptografia de ponta a ponta.
- Ative recursos como mensagens que desaparecem e revise dispositivos vinculados;
- Evite links ou QR codes suspeitos e desconfie de alertas inesperados dentro do app;
- Ative autenticação FIDO (chaves físicas ou passkeys) nos serviços importantes, como Google, Apple e Microsoft, e desative formas menos seguras de MFA.
- Usuários do Gmail devem considerar o Advanced Protection Program;
- Evite MFA por SMS, que não é criptografado nem resistente a phishing. Use apps autenticadores para contas menos sensíveis;
- Use um gerenciador de senhas (1Password, Bitwarden, Proton Pass etc.) para criar e armazenar senhas fortes e únicas. Proteja o cofre com uma frase-senha robusta;
- Configure um PIN na sua operadora para reduzir riscos de ataques de SIM swap;
- Mantenha o sistema e os apps sempre atualizados, de preferência com atualização automática ativada;
- Prefira modelos mais recentes de smartphones, que oferecem recursos de segurança que versões antigas não suportam;
- Não use VPN pessoal, pois transfere riscos do provedor de internet para o provedor de VPN. Só use VPN se for exigência da organização.
Recomendações para usuários de iPhone
- Ative o Modo Lockdown para reduzir a superfície de ataque;
- Desative “Enviar como SMS” para evitar mensagens sem criptografia;
- Proteja consultas DNS usando iCloud Private Relay ou DNSs criptografados (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9);
- Revise permissões de apps (localização, câmera, microfone) e limite ao necessário.
Recomendações para usuários de Android
- Prefira aparelhos com bom histórico de atualizações e segurança, com suporte a recursos como secure enclave e atualizações mensais por pelo menos 5 anos;
- Use RCS apenas com criptografia ativada (Google Messages);
- Configure Private DNS com resolvers confiáveis (Cloudflare, Google, Quad9);
- Ative “Sempre usar conexões seguras” e proteção avançada no Chrome;
- Mantenha o Google Play Protect ligado e evite instalar apps fora da Play Store;
- Revise permissões de apps e evite conceder acesso à localização, câmera ou microfone salvo quando indispensável.
Quer saber como se proteger de ameaças como essa? Acompanhe o TecMundo Security e fique atualizado com as principais notícias de segurança digital.