Filie-se

Tire suas dúvidas aqui

  TI  Agência alerta para riscos no WhatsApp e outros apps
TI

Agência alerta para riscos no WhatsApp e outros apps

Guia da CISA reúne ameaças recentes, detalha táticas usadas por cibercriminosos e orienta como reforçar a segurança

26/11/2025

PinterestLinkedInTumblrRedditVKWhatsApp

A Divisão de Segurança Cibernética dos Estados Unidos (CISA) divulgou na segunda-feira (24) um alerta destinado aos usuários de aplicativos de mensagens para celular. Segundo a entidade, grupos de cibercriminosos estão utilizando “táticas sofisticadas de identificação de alvos e engenharia social” para obter acesso a contas e instalar malware, conhecidos como vírus.

O comunicado funciona como um compilado de ameaças registradas ao longo de 2025, envolvendo mensageiros amplamente usados. Entre os destaques estão o spyware LANDFALL e o trojan ClayRat, ambos associados a ataques graves contra usuários.

Leia: Quer ganhar um kit com teclado e mouse de última geração da Dell? Concorra!

Engenharia social é principal arma

De acordo com a CISA, as táticas de engenharia social, especialmente o phishing, continuam sendo o método mais recorrente. Nesses golpes, criminosos abordam potenciais vítimas por mensagens, e-mails ou SMS, frequentemente fingindo representar empresas ou autoridades públicas.

Os contatos costumam envolver cenários de urgência, como cobrança de boletos, avisos sobre entregas ou agendamentos de serviços. O objetivo é manipular emocionalmente o usuário e reduzir sua atenção crítica.

Uma vez enganadas, as vítimas podem realizar pagamentos indevidos, fornecer credenciais ou instalar aplicativos maliciosos. Esse último item é especialmente preocupante: quando o malware é instalado, os criminosos podem obter acesso completo ao dispositivo, incluindo dados bancários.

Vulnerabilidades de “clique-zero” ampliam riscos

Outra categoria de ameaça ressaltada pela CISA envolve as falhas conhecidas como vulnerabilidades de zero-clique, que não exigem qualquer ação direta do usuário para serem exploradas.

Tanto celulares Android quanto iPhones podem ser afetados. Um exemplo recente citado no alerta é o de uma falha inédita em dispositivos Samsung Galaxy, explorada por meio do envio de imagens no WhatsApp. A brecha permitia a instalação de um spyware capaz de coletar dados pessoais e acessar o microfone.

Mesmo os iPhones, tradicionalmente associados a camadas robustas de segurança, não estão imunes. Em setembro, o WhatsApp corrigiu uma vulnerabilidade de zero-clique que permitia a exploração durante o processo de sincronização entre dispositivos.

Quem está na mira dos golpistas?

Segundo a CISA, qualquer usuário pode se tornar alvo por oportunidade, muitas vezes, por mero desconhecimento ou por um momento de descuido. No Brasil, golpes com códigos de rastreio falsos ou páginas fraudulentas do governo já são amplamente difundidos.

Além do público geral, o órgão norte-americano destaca que criminosos podem mirar “indivíduos de alto valor”, como militares ativos ou aposentados, figuras políticas e líderes de organizações civis.

Como se proteger

A CISA listou uma série de recomendações presentes no seu Guia de Melhores Práticas para Comunicação Mobile. Entre elas estão orientações gerais, além de dicas específicas para usuários de iPhone e Android.

Para todos os usuários:

• Use comunicação com criptografia de ponta a ponta.
• Ative mensagens temporárias e revise dispositivos vinculados à sua conta.
• Evite links e QR codes suspeitos; desconfie de alertas inesperados dentro dos apps.
• Ative autenticação FIDO (chaves físicas ou passkeys) em serviços como Google, Apple e Microsoft; desative métodos menos seguros de MFA.
• Usuários de Gmail podem considerar o Advanced Protection Program.
• Evite MFA via SMS; use apps autenticadores quando necessário.
• Utilize um gerenciador de senhas (1Password, Bitwarden, Proton Pass etc.).
• Configure um PIN na operadora para reduzir risco de SIM swap.
• Mantenha sistema e apps atualizados, preferencialmente com atualização automática.
• Prefira smartphones recentes, que oferecem recursos de segurança mais avançados.
• Não use VPN pessoal, a menos que seja exigência da organização.

Para quem usa iPhone:

• Ative o Modo Lockdown para reduzir superfícies de ataque.
• Desative a opção “Enviar como SMS” para evitar mensagens sem criptografia.
• Proteja consultas DNS com iCloud Private Relay ou DNSs criptografados (Cloudflare, Google, Quad9).
• Revise permissões de aplicativos e limite-as ao estritamente necessário.

Para quem usa Android:

• Prefira aparelhos com bom histórico de atualizações e suporte de segurança por ao menos cinco anos.
• Use RCS apenas com criptografia ativada (Google Messages).
• Configure Private DNS com resolvers confiáveis (Cloudflare, Google, Quad9).
• Ative “Sempre usar conexões seguras” e proteção avançada no Chrome.
• Mantenha o Google Play Protect ativado e evite instalar apps fora da Play Store.
• Revise permissões e conceda acesso à localização, câmera ou microfone somente quando indispensável.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)

Advertisement
PinterestLinkedInTumblrRedditVKWhatsApp
Na USP, Antonio Neto defende atuação sindical diante dos impactos da IA no trabalho
Computação ubíqua: a tecnologia que passa despercebida
Leia Mais
Carregar mais