Fonte:

Em uma nova maneira de usar a legitimidade do WhatsApp para disseminar softwares maliciosos, criminosos digitais estão propagando um pacote de API falso da plataforma para roubar perfis, contatos e tokens de login de usuários. Campanha de phishing rouba contas no WhatsApp via código de pareamento Golpe do "compartilhamento de tela" usa WhatsApp para roubar senhas ao vivo Segundo especialistas de cibersegurança da Koi Security, a operação consiste em um pacote corrompido chamado “lotusbail”, que está em ativa circulação no NPM e já foi baixado mais de 56 mil vezes desde seu surgimento, datado de maio de 2025. À primeira vista, o pacote parece ser totalmente funcional, mas logo a ação criminosa começa a tomar forma com a coleta de credenciais do WhatsApp do usuário, assim como também abre espaço para a interceptação de mensagens e a instalação de um backdoor extremamente persistente. O software malicioso ainda criptografa tudo que vê pela frente para enviar essas informações para o servidor ilegal. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Outro ponto que acendeu o alerta vermelho é a maneira como o pacote de API falso consegue vincular o dispositivo do hacker à conta legítima da vítima, já que o programa corrompido captura tokens de autenticação e outras credenciais sensíveis para obter acesso total ao perfil do usuário na plataforma. Pacote de API falso do WhatsApp implanta malware para roubar contas (Imagem: Reprodução/2-Spyware). Pareamento malicioso A questão do pareamento é algo crucial para que a ação criminosa se concretize pelo WhatsApp. De acordo com o relatório, o pacote falso conta com uma série de recursos ocultos que agem em conjunto para criar um acesso persistente à conta da vítima, fazendo isso por meio da vinculação, que sempre exige um código para funcionar. Logo, uma vez que o usuário usa o processo de autenticação da plataforma, após instalar o API corrompido, o que acontece é uma conexão permanente entre o dispositivo do hacker e o legítimo. Tudo isso sem que a vítima tenha conhecimento do que está ocorrendo nos bastidores. Além disso, mesmo que o pacote falso do WhatsApp seja desinstalado, os criminosos continuam com o acesso da conta comprometida em mãos. Afinal, o dispositivo malicioso seguirá vinculado ao perfil até que esse processo seja encerrado na aba de configurações do aplicativo. Malware vincula contas legítimas a dispositivos criminosos para facilitar roubo de contas (Imagem: jorge_henao15/Pixabay). Operando normalmente, o pacote falso de API também ativa o código de pareamento do backdoor, fazendo com que a conta seja automaticamente vinculada ao sistema malicioso assim que o usuário acessa seu perfil. Para passar despercebido, o conjunto comprometido ainda usa recursos de antidepuração para que o malware entre em um loop infinito, ficando “congelado”, assim que softwares de depuração são ativados. Leia também: Malware evolui e usa IA para criar vírus que ataca via WhatsApp Web no Brasil Criminosos usam videochamada do WhatsApp para limpar sua conta no banco O que fazer quando cair num golpe de WhatsApp? Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.