Todos os anos, milhões de celulares são roubados, e uma parcela significativa destes são **iPhones**. Enquanto alguns são desmontados para peças, uma opção mais lucrativa para os criminosos é desbloquear e limpar os dispositivos para revenda. Pesquisadores agora lançaram luz sobre os serviços de cibercrime que possibilitam esse processo. Em toda a web, particularmente no **Telegram**, existe um ecossistema "próspero" onde vendedores de software fornecem ferramentas de "desbloqueio" e tecnologia de phishing para comprometer **iPhones** roubados, de acordo com a **Infoblox**. Sua pesquisa indica que dezenas de grupos estão vendendo essas ferramentas, focando principalmente em **iPhones**, e ligaram mais de 10.000 sites de phishing a essa atividade. O tráfego para esses domínios disparou 350% no ano passado, destacando a escala crescente desse mercado ilícito. ### A Economia do Desbloqueio **Maël Le Touz**, pesquisador de ameaças na **Infoblox**, observa que o objetivo principal é a revenda de telefones desbloqueados. Com custos médios de desbloqueio abaixo de US$ 10, é acessível a indivíduos que não lidam necessariamente com grandes volumes de dispositivos roubados. O número crescente de roubos de celulares globalmente, como os estimados 80.000 dispositivos roubados em Londres em um único ano, alimenta esse mercado. Embora a **Apple** e o **Google** tenham aprimorado as medidas de segurança, os ladrões continuam a lucrar desbloqueando dispositivos para acessar contas bancárias, carteiras de criptomoedas e informações pessoais. **Will Lyne**, chefe de crimes econômicos e cibernéticos da Polícia Metropolitana de Londres, enfatiza que os ladrões buscam mais do que apenas o aparelho; eles buscam acesso a contas financeiras e dados pessoais. **Dan Guido**, CEO da **Trail of Bits** e consultor da **iVerify**, aponta a diferença significativa de valor entre um telefone bloqueado (US$ 50-US$ 200) e desbloqueado (US$ 500-US$ 1000), o que incentiva o desenvolvimento de métodos de desbloqueio. "Tudo isso é um ecossistema, e há várias pessoas em diferentes níveis da cadeia de suprimentos que trabalham juntas para desbloquear telefones", diz ele. ### Phishing e Engenharia Social A investigação da **Infoblox** começou quando um contato da aplicação da lei na Ásia relatou ter recebido uma mensagem de phishing após o roubo de seu **iPhone**. A página de phishing imitava o serviço **Find My** da **Apple**, exibindo um mapa falso e solicitando o código PIN do telefone. Relatórios online e do Centro Nacional Suíço de Cibersegurança detalham tentativas de phishing semelhantes visando contas **Apple iCloud** após a perda ou roubo de **iPhones**. Essas mensagens frequentemente incluem detalhes precisos do dispositivo, como modelo, cor e capacidade de armazenamento, provavelmente extraídos diretamente do telefone. O órgão suíço observou: "Como não há maneira conhecida de contornar este bloqueio, enganar o proprietário por meio de engenharia social é a única opção realista para os criminosos." **Le Touz** explicou que os pesquisadores da **Infoblox** criaram impressões digitais de DNS dos domínios de phishing e rastrearam sites semelhantes aos da **Apple**, alguns dos quais expuseram páginas de login de administração e anunciaram ferramentas de desbloqueio de telefone. Isso levou à identificação de vários grupos no **Telegram** oferecendo esses serviços. ### O Kit de Ferramentas de Desbloqueio De acordo com a **Infoblox**, esses grupos comumente oferecem três recursos principais: ferramentas de desbloqueio que afirmam fazer jailbreak em **iPhones** mais antigos ou dispositivos **Android** e extrair informações do proprietário; kits de phishing disfarçados de "Find My iPhone Off" para acessar contas; e scripts e software de chamada de voz com IA para automatizar campanhas de phishing. "O que você precisa, antes de mais nada, é acesso físico ao telefone", diz **Le Touz**. Se os jailbreaks falharem, ataques de phishing são lançados para coletar informações de desbloqueio. Os pesquisadores observaram que "Todas as ferramentas que analisamos limpam o dispositivo por padrão assim que o acesso é obtido." Um vídeo obtido pelos pesquisadores mostra um software chamado iRealm gerando links e páginas de phishing que imitam os serviços da **Apple**. Outras postagens relacionadas ao iRealm anunciam recursos como "Find My iPhone anulado" e "scripts" que mencionam o **Apple Pay**, prometendo uma "experiência perfeita" para "acessar e desbloquear dispositivos **Apple**". Em vários grupos do **Telegram**, indivíduos discutem suas experiências com ferramentas de desbloqueio, destacando a natureza colaborativa e em evolução dessa economia subterrânea. Alguns buscam assistência para contornar o recurso **Find My** da **Apple**, enquanto outros compartilham suas taxas de sucesso ou fracasso com diferentes métodos de desbloqueio. Capturas de tela de mensagens de texto de phishing, projetadas para parecerem notificações legítimas da **Apple**, também são comumente compartilhadas nesses grupos.