Conheça o golpe que rouba dados e fotos em tomadas públicas

Um novo ataque conhecido como ChoiceJacking está usando dispositivos maliciosos disfarçados de estação de carregamento para baixar fotos e dados de smartphones. O esquema é operado em três métodos diferentes, segundo a empresa de segurança Kaspersky.

O primeiro deles é o mais complexo, mas funciona tanto em iOS quanto em Android. Um microcomputador é disfarçado de estação de carregamento. Este microcomputador pode se conectar a um smartphone como um teclado USB, um host USB (computador) e um teclado Bluetooth.

• Quando o smartphone é conectado, a estação maliciosa emula um teclado USB e envia comandos para ativar o Bluetooth e se conectar a um dispositivo Bluetooth — o mesmo computador malicioso, agora se passando por um teclado Bluetooth. Depois disso, o sistema se reconecta via USB, agora se passando por um computador. O smartphone pergunta ao usuário se permite a transferência de dados — e o dispositivo malicioso confirma a solicitação por meio de um “pressionamento de tecla” Bluetooth.

O segundo método funciona apenas no Android e não requer Bluetooth. O carregador malicioso finge ser um teclado USB e inunda o smartphone com teclas digitadas, sobrecarregando o buffer de entrada. Enquanto o sistema operacional está ocupado processando essa entrada sem sentido, o carregador se desconecta e se reconecta — desta vez como um computador. 

• Um prompt aparece na tela perguntando em qual modo conectar e, nesse momento, o final do buffer de entrada do teclado é reproduzido, contendo uma sequência de teclas que confirma a conexão no modo de transferência de dados (MTP, PTP ou até mesmo modo de depuração ADB).

O terceiro método — também exclusivo para Android — explora o fato de que todos os smartphones testados implementam incorretamente o Protocolo de Acesso Aberto do Android (AOAP).

• O dispositivo malicioso se conecta imediatamente como um computador e, quando a tela de confirmação aparece, envia os eventos de pressionamento de tecla necessários via AOAP. De acordo com o protocolo, a operação simultânea nos modos USB-host e AOAP é proibida — mas, na prática, essa restrição é frequentemente ignorada.

Atualização de sistema 

Segundo a Kaspersky, os métodos de ataque foram bloqueados pela Apple e pelo Google no iOS/iPadOS 18.4 e no Android 15. Agora, a transferência de dados via USB depende de uma autenticação biométrica ou senha, e não apenas o botão “Sim”.

No Android, no entanto, a versão do sistema operacional por si só não garante a segurança do smartphone. Dispositivos Samsung com o shell One UI 7, por exemplo, não solicitam autenticação — mesmo após a atualização para o Android 15.

A recomendação é para que os usuários do Android conectem seus smartphones apenas a computadores conhecidos por meio de um cabo, verificando se é necessária uma senha ou confirmação biométrica. Caso contrário, o melhor é evitar estações de carregamento públicas.

Como se proteger?

• Carregue seus dispositivos apenas usando seu próprio carregador ou carregador portátil de confiança;
• Use um bloqueador de dados USB — um adaptador que permite que apenas a energia flua pelo cabo, impedindo a transmissão de dados;
• Esteja atualizado com as versões mais recentes do Android ou iOS;
• Se tiver de conectar o telefone a uma tomada pública, observe a tela: se ele não começar a carregar, mas solicitar que você escolha o tipo de conexão, selecione “Apenas carregando”.