Pesquisadores da Kaspersky alertaram para um novo tipo de ataque chamado ChoiceJacking, que utiliza dispositivos maliciosos disfarçados de estações de carregamento para invadir smartphones e roubar dados. O golpe atua por meio de três métodos diferentes, afetando tanto Android quanto iOS.
Como funciona o ataque
Primeiro método (iOS e Android):
O mais complexo dos três, envolve um microcomputador oculto na estação de carregamento. Assim que o smartphone é conectado, o dispositivo malicioso se comporta como um teclado USB e envia comandos para ativar o Bluetooth e emparelhar com o mesmo computador, agora se passando por um teclado Bluetooth. Após a conexão, o sistema se reconecta via USB como um computador. Quando o smartphone pede permissão para transferência de dados, o dispositivo confirma automaticamente, simulando um “pressionamento de tecla” via Bluetooth.
Segundo método (Android):
Este método não utiliza Bluetooth. A estação maliciosa se apresenta como um teclado USB e envia rapidamente uma sequência massiva de comandos, sobrecarregando o sistema do smartphone. Durante a confusão, o carregador se desconecta e se reconecta como um computador. Nesse momento, a sequência final de comandos confirma automaticamente a ativação do modo de transferência de dados, sem o consentimento do usuário.
Terceiro método (Android):
Explora falhas na implementação do Protocolo de Acesso Aberto do Android (AOAP). O dispositivo malicioso se conecta diretamente como um computador e, quando a tela de confirmação surge, simula automaticamente a confirmação via eventos de tecla. Embora o protocolo proíba a operação simultânea de USB-host e AOAP, a maioria dos smartphones ignora essa restrição.
Correções e atualizações
Segundo a Kaspersky, as vulnerabilidades foram bloqueadas nas atualizações iOS/iPadOS 18.4 e Android 15. A partir dessas versões, a transferência de dados via USB exige autenticação biométrica ou senha, não podendo mais ser liberada apenas com um simples toque.
No entanto, a proteção não é garantida para todos. Aparelhos Android com interfaces personalizadas podem manter brechas. Um exemplo é a interface Samsung One UI 7, que, mesmo no Android 15, não exige autenticação para liberar a transferência de dados.
Como se proteger
-
Carregue seu smartphone apenas com carregadores próprios ou de confiança.
-
Utilize um bloqueador de dados USB, que permite apenas o fluxo de energia, bloqueando a transmissão de dados.
-
Mantenha o sistema atualizado com as versões mais recentes do Android ou iOS.
-
Ao usar estações públicas, fique atento: se aparecer a solicitação para selecionar o tipo de conexão, escolha sempre “Apenas carregando”.
A Kaspersky reforça que o melhor caminho é evitar ao máximo o uso de estações públicas de carregamento, que podem ser facilmente adulteradas para realizar ataques como o ChoiceJacking.
