A quadrilha conhecida como Tropa do Arranca, presa pela Polícia Civil do Distrito Federal em fevereiro, não se limitava ao furto de celulares em shows e grandes eventos. O grupo mantinha uma estrutura digital sofisticada para continuar explorando as vítimas mesmo após o roubo do aparelho.
O golpe começava justamente com um mecanismo criado para proteger o usuário. Os iPhones contam com o Bloqueio de Ativação, sistema da Apple que impede o uso do dispositivo sem as credenciais originais do proprietário. Enquanto essa proteção permanece ativa, o aparelho perde valor no mercado ilegal, já que não pode ser configurado por terceiros.
Para contornar essa barreira, os criminosos passaram a mirar diretamente a conta Apple das vítimas.
A estratégia utilizada foi o phishing, técnica baseada em páginas falsas que imitam serviços legítimos para capturar dados sensíveis. No caso da Tropa do Arranca, os golpistas criaram sites visualmente idênticos ao recurso Buscar, ferramenta oficial usada para localizar ou bloquear iPhones remotamente.
O diferencial do esquema estava no timing e no realismo. Após o furto, a vítima era direcionada a uma página fraudulenta que exibiria um mapa com coordenadas reais em São Paulo, próximas ao Viaduto Jaceguai e à Avenida 23 de Maio, indicando falsamente que o aparelho havia sido encontrado. Para continuar o suposto processo de recuperação, o site solicitava login e senha da conta Apple.
Não existia rastreamento algum. O mapa funcionava apenas como elemento visual para aumentar a credibilidade do golpe e induzir a vítima a agir rapidamente.
Esse tipo de abordagem é conhecido como engenharia social — quando o ataque explora comportamento humano em vez de falhas técnicas. O momento escolhido não era aleatório: logo após o furto, quando o usuário está sob pressão emocional e mais propenso a tomar decisões impulsivas.
Com as credenciais em mãos, os criminosos acessavam o iCloud da vítima e removiam o Bloqueio de Ativação. Um aparelho antes inutilizado passava a funcionar normalmente e podia ser revendido como legítimo. O acesso também permitia visualizar fotos, documentos, backups completos e até senhas armazenadas na nuvem.
As investigações indicam ainda que dados financeiros extraídos das contas eram analisados por meio de canais no Telegram utilizados pelo grupo.
Pesquisadores identificaram pelo menos dez domínios falsos ligados à operação, com nomes criados para simular serviços oficiais da Apple, todos hospedados em um único servidor localizado na Rússia e classificado como de risco crítico. Manter múltiplos sites conectados à mesma infraestrutura é uma técnica comum para evitar bloqueios: quando um domínio é derrubado, outros continuam ativos.
A conexão entre os sites foi descoberta graças a uma assinatura escondida no código-fonte das páginas falsas — um identificador invisível ao usuário comum que funcionava como uma espécie de marca digital deixada pelos próprios operadores.
O esquema já havia sido parcialmente revelado anteriormente pelo TecMundo, que identificou dezenas de links fraudulentos simulando o sistema Buscar e enviando localizações falsas às vítimas junto de mensagens orientando a retirada do aparelho.
Especialistas reforçam que, após o roubo de um celular, o acesso ao rastreamento deve ser feito exclusivamente digitando manualmente o endereço oficial da Apple no navegador. Links enviados por SMS ou mensagens, mesmo quando parecem legítimos, devem ser ignorados.
A ativação da verificação em duas etapas continua sendo a principal camada de proteção. Mesmo que criminosos obtenham e-mail e senha, o acesso à conta permanece bloqueado sem o código adicional enviado a um segundo dispositivo autorizado.
No fim, o golpe mostra uma mudança clara no cenário do crime digital: hoje, roubar o aparelho é só a primeira fase. O verdadeiro alvo passou a ser a identidade digital que vive dentro dele.
