Pesquisadores de segurança identificaram uma nova técnica de invasão que permite sequestrar contas do WhatsApp em iPhones sem qualquer interação da vítima. Diferente dos golpes tradicionais, o ataque ocorre sem cliques em links, compartilhamento de códigos ou escaneamento de QR Codes.
A campanha foi descoberta nas últimas semanas na Itália pela empresa de perícia digital Forenser e chamou atenção por permitir o envio de mensagens fraudulentas diretamente do número da vítima sem deixar sinais visíveis no aplicativo.
Na prática, criminosos conseguem pedir dinheiro a contatos recentes enquanto o dono legítimo da conta continua usando o WhatsApp normalmente — sem perceber a invasão.
Vítima não vê aparelhos conectados nem alertas
O comportamento do golpe intrigou pesquisadores porque todas as vítimas relataram o mesmo padrão.
Mensagens solicitando transferências bancárias eram enviadas para contatos recentes do WhatsApp, mas, ao verificar a seção “Aparelhos conectados”, nenhum dispositivo suspeito aparecia.
Isso descartou o golpe mais comum de clonagem, conhecido como “pareamento fantasma”, em que criminosos induzem vítimas a escanear QR Codes ou inserir códigos de vinculação do WhatsApp Web.
No caso identificado na Itália, nenhuma ação do usuário foi necessária.
Peritos encontraram sinais escondidos no iPhone
A primeira pista surgiu após análise técnica dos registros internos do iOS.
Os especialistas da Forenser encontraram um padrão anormal de eventos de ressincronização contínua do WhatsApp.
Segundo os pesquisadores, isso indicava que dois clientes diferentes tentavam controlar a mesma conta ao mesmo tempo:
- O iPhone legítimo da vítima;
- Uma sessão remota controlada pelo invasor.
Esse conflito fazia com que ambos renegociassem autenticação repetidamente junto aos servidores do WhatsApp.
Como resultado:
- O atacante conseguia enviar mensagens;
- Conversas recentes podiam ser acessadas;
- Chats antigos e arquivados nem sempre ficavam disponíveis;
- Nenhum aparelho aparecia listado no menu oficial do aplicativo.
Ou seja, o invasor operava fora do mecanismo tradicional de dispositivos vinculados.
Duas vulnerabilidades teriam sido exploradas juntas
Durante a investigação, os pesquisadores perceberam um detalhe importante: todos os aparelhos comprometidos rodavam versões do iOS 16.
A partir disso, a equipe identificou duas falhas que provavelmente foram usadas em conjunto.
A primeira, identificada como CVE-2025-43300, afetava a biblioteca de processamento de imagens do iOS.
Segundo os pesquisadores, a vulnerabilidade permitia corromper memória do sistema por meio do envio de uma imagem maliciosa.
A Apple corrigiu o problema em setembro de 2025 após identificar exploração ativa.
A segunda falha, registrada como CVE-2025-55177, estaria relacionada ao processamento indevido de conteúdo vindo de URLs arbitrárias através da sincronização de aparelhos conectados do WhatsApp.
iPhones com iOS antigo seriam os mais vulneráveis
Segundo a análise, aparelhos com versões inferiores ao iOS 16.7.12 podem estar expostos.
Entre os modelos identificados nos casos investigados estão:
- iPhone 8
- iPhone X
- iPhone XR
- iPhone XS
- iPhone 11
- iPhone SE
- iPhone 12
- iPhone 13
- iPhone 14
Os logs analisados mostraram erros repetidos na biblioteca de imagens exatamente nos horários em que as contas foram comprometidas.
Teste em laboratório confirmou hipótese
A Forenser afirma ter reproduzido parte do ataque em ambiente controlado.
Durante os testes, pesquisadores conseguiram extrair do aparelho vulnerável material criptográfico usado pelo WhatsApp para autenticação de sessão.
Com isso, foi possível criar um novo cliente do WhatsApp controlado remotamente sem disparar notificações visíveis ao usuário.
O comportamento observado reproduziu exatamente o padrão encontrado nos casos reais: mensagens sendo enviadas enquanto nenhum dispositivo estranho aparecia no menu do aplicativo.
Golpe é diferente do “Emparelhamento Fantasma”
Pesquisadores destacam que o caso não deve ser confundido com a campanha descoberta em dezembro, apelidada de “Emparelhamento Fantasma”.
Naquele esquema, criminosos enviavam links falsos simulando páginas do Facebook e induziam vítimas a inserir manualmente códigos de pareamento do WhatsApp Web.
No ataque atual, nenhuma engenharia social parece necessária.
A exploração ocorre diretamente a partir de falhas técnicas no sistema.
Como se proteger
Especialistas afirmam que medidas tradicionais — como evitar links suspeitos — não são suficientes neste caso.
As principais recomendações incluem:
- Atualizar imediatamente o iPhone para a versão mais recente do iOS;
- Atualizar o WhatsApp regularmente;
- Reinstalar o aplicativo em caso de suspeita;
- Utilizar o bloqueio de conversas do WhatsApp;
- Desconfiar de pedidos de dinheiro enviados pelo app.
Um cuidado importante: se alguém pedir dinheiro por WhatsApp de forma incomum, não valide a situação no mesmo chat.
Pesquisadores recomendam ligar diretamente para a pessoa, já que o invasor pode ler e responder mensagens antes do dono legítimo da conta recuperar o acesso.
O caso levanta preocupação porque mostra um cenário raro: uma invasão praticamente invisível, sem clique, sem QR Code e sem qualquer ação perceptível da vítima.
