Como criminosos clonam contas WhatsApp de iPhone sem precisar de senhas

Criminosos estão invadindo contas de WhatsApp em iPhones sem depender de nenhuma ação da vítima. Em outras palavras, o ataque ocorre mesmo sem clicar em links, compartilhar códigos ou escanear QR codes. 

Na prática, essa abordagem possibilita que os criminosos enviem mensagens pedindo dinheiro para os contatos da vítima sem deixar rastros visíveis no aplicativo. O golpe foi identificado nas últimas semanas na Itália, por uma empresa de perícia digital chamada Forenser.

A vítima não vê nenhum sinal de invasão no aplicativo

O padrão do golpe chamou atenção porque todas as vítimas relataram a mesma situação estranha. As mensagens pedindo transferências bancárias eram enviadas do número da vítima para contatos recentes. Quando a pessoa checava a seção “Aparelhos conectados” do WhatsApp, não aparecia nenhum dispositivo suspeito.

A ausência de aparelhos conectados na lista descartou o golpe mais comum de clonagem. Nesse tipo de fraude tradicional, conhecida pelo termo técnico “pareamento fantasma”, o criminoso engana a vítima para que ela escaneie um QR code malicioso. O que aconteceu na Itália foi diferente, porque não incluiu nenhuma ação da vítima.

Como os peritos descobriram o ataque invisível

A primeira pista veio da análise de registros internos do sistema iOS de um aparelho invadido. Os peritos da Forenser identificaram uma sequência contínua de eventos chamados ressincronização gerados pelo WhatsApp. Isso significa que o aplicativo estava renegociando a sessão com os servidores do aplicativo repetidamente.

Esse padrão não é normal. Ele acontece quando dois dispositivos diferentes estão tentando manter controle sobre a mesma conta, ao mesmo tempo. O celular legítimo e o cliente do atacante ficavam se reautenticando nos servidores do WhatsApp, um seguido do outro. No entanto, nenhum dos dois conseguia deslocar o outro completamente.

Isso explica porque as mensagens eram enviadas sem conhecimento da vítima enquanto a lista de aparelhos conectados ficava vazia. A sessão do atacante não estava registrada como aparelho vinculado da forma tradicional. Além disso, era possível acessar conversas recentes e enviar mensagens, mas não visualizar chats antigos ou arquivados.

As falhas de segurança que permitiram o ataque

Os pesquisadores notaram que todos os casos envolviam iOS 16. Essa especificidade levou a equipe a investigar vulnerabilidades conhecidas nessa versão do sistema da Apple. Eles encontraram duas falhas que provavelmente foram exploradas juntas.

A primeira é identificada pelo código ‘CVE-2025-43300’. Trata-se de um problema na biblioteca de processamento de imagens do iOS. Um atacante podia explorar essa falha enviando uma imagem maliciosa que corrompia a memória do sistema. A Apple corrigiu esse problema em setembro de 2025,  após descobrir que ele já estava sendo explorado ativamente.

A segunda falha é específica do WhatsApp e recebeu o código ‘CVE-2025-55177’. Ela permite que qualquer conteúdo seja processado de URLs arbitrárias, por meio de mensagens de sincronização de aparelhos conectados mal autorizadas. 

Versões do iOS abaixo de 16.7.12 são vulneráveis, e todos os aparelhos comprometidos analisados pela Forenser rodavam essas versões. 

• iPhone 8;
• iPhone X;
• iPhone XR;
• iPhone XS;
• iPhone 11;
• iPhone SE; 
• iPhone 12;
• iPhone 13;
• iPhone 14.

Os registros dos aparelhos afetados mostraram múltiplos erros gerados pela biblioteca de processamento de imagens. Esses erros aconteceram nos mesmos horários em que as contas de WhatsApp foram comprometidas.

Criminosos roubam dados da conta sem autorização

A equipe da Forenser reproduziu parte do ataque em laboratório usando um aparelho de teste com versão vulnerável do iOS 16. O teste confirmou que um atacante que explora com sucesso a vulnerabilidade consegue extrair material criptográfico necessário para o processo de conexão da sessão do WhatsApp diretamente do aparelho comprometido.

Esse material pode então ser usado para criar um novo cliente do WhatsApp em outro lugar conectado à conta da vítima. Isso acontece sem disparar nenhuma notificação visível no celular da vítima ou no aplicativo. É nesse momento que a sequência contínua de ressincronização nos registros é gerada. O celular legítimo e o cliente do atacante disputam a sessão.

Esse modelo corresponde exatamente ao que foi observado nos casos reais. Uma conta enviando mensagens para contatos recentes apesar da completa ausência de aparelhos conectados visíveis nas configurações do aplicativo.

Golpe anterior usava método diferente de clonagem

Em dezembro, atacantes foram flagrados explorando o recurso de vinculação de aparelhos do WhatsApp para sequestrar contas usando códigos de pareamento. Essa campanha foi chamada de “Emparelhamento Fantasma”. Diferente do ataque italiano, esse golpe anterior exigia que a vítima inserisse um código manualmente.

A cadeia de ataque começava com vítimas recebendo mensagens de contatos confiáveis. As mensagens continham links com visualização no estilo do Facebook. Os links levavam para domínios falsos que imitavam o Facebook usando nomes relacionados a fotos.

As vítimas eram direcionadas para uma página falsa que pedia verificação. Seguindo uma sequência de passos aparentemente inofensivos, as vítimas concediam acesso total às suas contas sem roubo de senha ou troca de chip. 

O método abusava do WhatsApp Web pedindo que a pessoa inserisse um código numérico. Ao completar essa etapa, o navegador do atacante era vinculado como aparelho confiável.

Como se proteger desse tipo de invasão

Como esse é um ataque invisível que não exige ação da vítima, medidas tradicionais de segurança não funcionam. A proteção mais eficaz é atualizar o iOS para a versão mais recente disponível. A falha CVE-2025-43300 foi corrigida em versões posteriores ao iOS 16.

Para quem suspeita que a conta já foi comprometida, a Forenser sugere algumas medidas práticas. Bloquear conversas usando o recurso de bloqueio de chat do WhatsApp impede que atacantes leiam ou escrevam nessas conversas. Atualizar o aplicativo ou reinstalá-lo em um aparelho novo parece eficaz para expulsar a sessão do atacante.

Um detalhe importante para quem recebe pedidos suspeitos de dinheiro pelo WhatsApp. Não responda no mesmo chat para verificar se o pedido é legítimo, ligue diretamente para a pessoa. Isso porque o atacante pode ver sua resposta antes do dono legítimo da conta.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.