Uma quadrilha conhecida como Tropa do Arranca, presa pela Polícia Civil do Distrito Federal em fevereiro deste ano, ia muito além do furto de smartphones em shows e eventos.
O grupo operava uma estrutura digital montada para continuar lesando as vítimas depois que o aparelho já havia sumido, explorando o momento de desespero imediatamente após o furto.
smart_display
Nossos vídeos em destaque
O funcionamento do golpe começa com um recurso técnico que, para proteger a vítima, o iPhone se bloqueia. A Apple possui um sistema de proteção chamado Bloqueio de Ativação, que impede que qualquer pessoa configure ou use um iPhone sem a senha original do dono.
Enquanto esse bloqueio estiver ativo, o aparelho vale pouco no mercado ilegal, ele simplesmente não funciona nas mãos de outra pessoa. Para desativá-lo, é preciso acessar a conta Apple da vítima. E foi exatamente esse acesso que a quadrilha foi buscar.
Uma página falsa no momento certo
A técnica utilizada pelo grupo criminoso se chama phishing, e funciona como uma isca digital, na qual a vítima é levada a acessar uma página que parece legítima. Sem perceber, ela entrega seus dados diretamente aos criminosos.
No caso da Tropa do Arranca, a isca era uma página construída para ser visualmente idêntica ao “Buscar”, o sistema oficial da Apple que permite localizar ou bloquear um iPhone remotamente. É o mesmo serviço que a vítima acessaria naturalmente após perceber o furto.
O que tornava esse golpe especialmente eficaz era o uso de coordenadas geográficas reais, exibidas dentro da página falsa.
Ao acessar o site, a vítima via um mapa com uma localização precisa, correspondente a um ponto real em São Paulo, próximo ao Viaduto Jacequai e à Avenida 23 de Maio, acompanhada de uma mensagem informando que o aparelho havia sido encontrado. A página então pedia login e senha da conta Apple para prosseguir.
Não havia nenhum rastreamento real, o mapa era decorativo. O único objetivo da página era fazer a vítima acreditar, no menor espaço de tempo possível, que o aparelho estava localizado e que bastava confirmar a identidade para recuperá-lo.
Essa estratégia se chama engenharia social. Em vez de invadir sistemas por meios técnicos, o criminoso manipula o comportamento humano, e o faz no momento em que a vítima está mais vulnerável, com menos tempo para raciocinar e mais pressão para agir rápido.
O que acontecia com a senha
Com o e-mail e a senha da conta Apple em mãos, o grupo acessava o iCloud da vítima e desativava o Bloqueio de Ativação. Um iPhone que estava inutilizável passava a funcionar normalmente e podia ser revendido pelo preço de mercado como se fosse um aparelho legítimo.
)
Além do desbloqueio, o acesso à conta dava ao grupo entrada a tudo que estava sincronizado com a nuvem, incluindo fotos, documentos, senhas armazenadas e backups completos do dispositivo. A investigação também aponta que o grupo utilizava os canais no Telegram para verificar dados financeiros extraídos das vítimas.
Dezenas de domínios, um servidor
Os pesquisadores identificaram ao menos dez endereços na internet vinculados à operação, todos com nomes construídos para imitar serviços da Apple:
- icloudbrasil.net;
- applerastreio.net;
- rastreioapple.net;
- icloudseguro.com;
- icloudbuscar.net.
Todos apontavam para um único servidor localizado na Rússia, classificado com risco Crítico pelos pesquisadores, indicativo de tráfego ativo de vítimas sendo enganadas e dados sendo transmitidos em tempo real.
Manter múltiplos endereços ligados ao mesmo servidor é uma estratégia anti-bloqueio: se um dos sites for derrubado pelas autoridades ou identificado pelos navegadores como perigoso, os demais continuam no ar. Todos os domínios haviam sido registrados recentemente, sugerindo uma rotina contínua de criação de novos endereços para substituir os que fossem identificados.
A assinatura que permitiu aos pesquisadores rastrear toda essa rede foi encontrada dentro do próprio código da página falsa: um campo invisível para o usuário comum, mas presente no código-fonte do site, com o valor kittropadoarranc_Tropa. Funcionou como uma marca d’água deixada pelos próprios criadores, e foi o ponto de partida para mapear toda a infraestrutura.
Operação já havia sido noticiada
No início do mês, o TecMundo havia noticiado a descoberta de mais de 40 links que se passavam pela função Buscar da Apple, e que estavam sendo usados para arrancar informações de vítimas de furtos e roubos.
Na ocasião, os pesquisadores mostraram que a operação também mandava localizações de São Paulo para as vítimas. Os criminosos também enviavam uma mensagem para os usuários, com as instruções para retirada dos aparelhos.
Agora, com a investigação da polícia, é possível ligar a Tropa do Arranca a esta atividade.
Como se proteger
Após um furto de celular, o caminho correto para acessar o sistema de rastreamento da Apple é digitar o endereço oficial — appleid.apple.com — diretamente no navegador. Nunca clicar em links recebidos por SMS ou mensagens, mesmo que prometam que o aparelho foi localizado.
Ativar a verificação em duas etapas na conta Apple antes de qualquer incidente é a principal barreira contra esse golpe específico. Mesmo que o criminoso obtenha e-mail e senha, não consegue acessar a conta sem um código enviado a um segundo dispositivo da vítima.
O aplicativo Celular Seguro, do Ministério da Justiça, permite registrar o furto e acionar o bloqueio automático do aparelho junto a operadoras e bancos parceiros — sem depender de nenhum link externo.