Serviços
Serviços
Página inicial » Notícias

Seu PC infectado agora é um interruptor mortal para o seu celular. Veja o que fazer

Autor: Anastasia Poida, an experienced editor-in-chief, journalist Anastasia Poida
Atualização: Nov 12, 2025
Un hacker vestito con abiti scuri afferra un telefono dalla scheda Google Find Hub, simbolizzando l'eliminazione remota dei dati dal telefono.

Hackers norte-coreanos patrocinados pelo Estado acabaram de demonstrar algo que a maioria das pessoas não percebe: se o seu computador estiver infectado por malware, a segurança do seu smartphone já está comprometida, mesmo que o próprio telefone esteja completamente limpo.

Em setembro de 2025, o grupo APT KONNI usou malware em PCs com Windows para apagar remotamente celulares Android por meio do Google Localizador (Recurso Encontre meu dispositivo). Mas aqui está o detalhe crucial que muda tudo: o Google confirmou que esse ataque não explorou nenhuma falha de segurança no Android ou no Find My Device. A vulnerabilidade era muito mais simples — e mais assustadora: computadores desktop infectados.

o que realmente aconteceu: a cadeia de ataque do pc para o telefone

A campanha do KONNI funcionou por meio de uma sequência cuidadosamente orquestrada que revela o quão interconectados nossos dispositivos realmente são:

Etapa 1: Engenharia social via aplicativo de mensagens

Os invasores se passaram por conselheiros psicológicos e ativistas de direitos humanos norte-coreanos, distribuindo malware disfarçado de programas de alívio do estresse pelo popular aplicativo coreano de mensagens KakaoTalk. As vítimas acreditaram que estavam baixando um software legítimo de aconselhamento.

Etapa 2: Infecção por RAT em PCs com Windows

Depois de executados, os instaladores MSI maliciosos implantaram trojans de acesso remoto (RATs), especificamente RemcosRAT, QuasarRAT e RftRAT. Eles não são vírus simples; são ferramentas sofisticadas que dão aos invasores controle remoto completo sobre os computadores infectados.

Os RATs se disfarçam como software legítimo e permanecem ocultos; não aparecem nas listas de programas ou tarefas em execução. Uma vez instalados, os invasores podem monitorar o comportamento do usuário, acessar informações confidenciais, ativar webcams, fazer capturas de tela e acessar tudo o que a vítima pode acessar.

Diagramma che illustra il processo di spear phishing e infezione da malware attraverso la distribuzione di file dannosi, che colpisce sia i dispositivi Windows che Android.
Fonte: Genians

Etapa 3: Roubo de credenciais e sessões

Os RATs coletaram credenciais de contas do Google por vários métodos:

  • Keylogging: registrando senhas à medida que as vítimas as digitavam.
  • Extração de credenciais do navegador: roubando senhas salvas no Chrome, Edge ou outros navegadores.
  • Roubo de cookies de sessão: copiando cookies de autenticação de sessões do navegador já conectadas.

Este último método é o mais insidioso. Quando um hacker rouba cookies de sessão, ele pode ignorar totalmente a autenticação de dois fatores (2FA), porque o navegador já concluiu o desafio de autenticação. O cookie roubado concede acesso total sem disparar novos avisos de segurança ou notificações de 2FA.

Etapa 4: Apagamento remoto via Google Localizador

Usando as credenciais ou cookies de sessão roubados, os invasores entraram nas contas Google das vítimas e acessaram o Find My Device (Google Localizador). A partir daí, puderam disparar redefinições de fábrica à vontade, apagando todas as evidências de sua intrusão.

⚠️ Segundo pesquisadores da empresa sul-coreana de cibersegurança Genians, em vários casos os dispositivos das vítimas foram apagados sem autorização, eliminando mensagens, fotos e outros dados que poderiam ter revelado vestígios da intrusão.

O nível de sofisticação foi arrebatador. Os invasores usaram o recurso de localização por GPS do Google Localizador para identificar quando o alvo estava fora de casa e menos propenso a reagir rapidamente. Em um dos incidentes, o invasor executou o comando de apagamento não apenas uma, mas três vezes, garantindo o máximo de interrupção e perda completa de dados.

Etapa 5: Movimento lateral via KakaoTalk para desktop

Talvez de forma ainda mais insidiosa, imediatamente após os apagamentos dos dispositivos, os invasores exploraram os apps KakaoTalk para desktop que permaneciam conectados das vítimas para enviar arquivos carregados de malware para os contatos delas, transformando cada conta comprometida em um nó secundário de infecção.

a verdadeira vulnerabilidade: seus dispositivos são um único sistema

O ataque do KONNI expõe um equívoco fundamental sobre a segurança moderna: pensamos em nossos dispositivos como separados, mas, para os invasores, eles são todos pontos de entrada para o mesmo ecossistema.

Muitos usuários preocupados com segurança podem pensar, “Eu tenho autenticação de dois fatores ativada na minha conta do Google. Um invasor não pode simplesmente entrar no Find My Device a partir do computador dele.”

E você estaria certo se o invasor estivesse tentando fazer login a partir do próprio dispositivo. Mas não foi isso que aconteceu.

Quando um malware infecta seu PC no qual você já está conectado ao Google, o invasor não precisa da sua senha nem dos seus códigos de 2FA. Ele rouba seus cookies de sessão, pequenos arquivos que dizem aos sites “Este usuário já se autenticou com sucesso”. Com esses cookies, os invasores podem:

  1. Acessar sua conta Google como se fossem você.
  2. Navegar até o Find My Device (Google Localizador) sem acionar novos prompts de login.
  3. Executar comandos como redefinições de fábrica que parecem vir da sua sessão legítima e autenticada.
  4. Ignorar todas as proteções de 2FA porque estão usando a sua sessão já verificada.

O sequestro de sessão permite que invasores contornem a autenticação de dois fatores roubando os cookies de sessão depois que você já fez login. Uma vez que o hacker obtém o cookie de sessão, ele pode usá-lo para acessar sua conta como se fosse você, sem necessidade de senha ou código de 2FA.

Além disso, serviços modernos de nuvem criam uma ponte invisível entre todos os seus dispositivos. Quando seu PC é comprometido:

  • As senhas salvas no seu navegador viram as senhas do invasor;
  • Suas sessões autenticadas viram as sessões autenticadas do invasor;
  • Seus serviços em nuvem (Google, Apple, Microsoft, Dropbox) viram o painel de controle do invasor;
  • Seus outros dispositivos (celular, tablet, casa inteligente) viram os alvos do invasor.

⚠️ Você pode ter segurança móvel impecável (bloqueios biométricos, armazenamento criptografado, nenhum app suspeito), mas se o seu desktop estiver infectado, nada disso importa. O invasor não precisa comprometer seu celular diretamente. Ele só precisa comprometer os serviços em nuvem que controlam seu celular.

as questões de design do encontrar meu dispositivo (find my device)

Embora a principal vulnerabilidade fosse o malware no PC, o ataque revela algumas limitações de design no Find My Device que o tornaram mais eficaz:

1. Execução instantânea sem período de carência

Quando um comando de redefinição de fábrica é emitido pelo Google Localizador (Find My Device), ele acontece imediatamente. Não há período de resfriamento, nenhuma opção “Cancelar em 5 minutos”, nenhuma verificação enviada para um dispositivo secundário.

Esse design de execução instantânea prioriza o caso de uso legítimo: alguém que teve o telefone roubado precisa apagá-lo rapidamente antes que o ladrão acesse os dados. Mas cria um ponto único de falha catastrófico quando a própria conta é comprometida.

ℹ️ O que poderia ajudar: um atraso configurável (mesmo que de apenas 5–10 minutos) com a possibilidade de cancelar o comando a partir de outro dispositivo autenticado. Usuários que precisarem de apagamentos instantâneos poderiam desativar esse atraso; usuários mais conscientes de segurança poderiam ativá-lo.

2. Ausência de detecção de anomalias

O sistema não sinaliza padrões suspeitos. Quando um invasor:

  • faz login a partir de um local incomum;
  • verifica as coordenadas de GPS;
  • executa imediatamente uma redefinição de fábrica;
  • repete isso três vezes em sequência…

…não há um sistema automatizado dizendo “Esse comportamento é incomum; vamos exigir verificação adicional”.

ℹ️ O que poderia ajudar: modelos de aprendizado de máquina que detectem padrões anômalos e exijam autenticação reforçada (como inserir um código de 2FA especificamente para essa ação, mesmo que você já esteja conectado).

3. Logs forenses limitados

Depois que um dispositivo é apagado, não há registro em nuvem do que aconteceu. As vítimas não têm como:

  • ver quando o telefone foi apagado;
  • identificar de que local o comando de apagamento foi enviado;
  • revisar quais outras ações do Find My Device foram realizadas;
  • entender a linha do tempo do ataque.

ℹ️ O que poderia ajudar: logs resistentes à violação, armazenados separadamente do dispositivo, que registrem todas as ações do Find My Device e sejam acessíveis mesmo após uma redefinição de fábrica.

4. Alertas de localização que revelam sua vigilância

Quando você localiza um dispositivo pelo Google Localizador, aparece uma notificação no dispositivo alvo dizendo “Localização do dispositivo compartilhada”, o que alerta os invasores de que você está rastreando-os.

Embora isso faça sentido para a privacidade em cenários legítimos (você deve saber se alguém está rastreando sua localização), também avisa invasores sofisticados de que você está ciente do comprometimento, potencialmente acelerando o cronograma deles para apagar o dispositivo.

o que você pode fazer: defesa em camadas

O ataque do KONNI deixa claro que a segurança móvel começa pela segurança do PC. Veja o que você precisa fazer:

  1. Trate anexos de e-mail como hostis até prova em contrário.

    A campanha do KONNI dependia de as vítimas instalarem voluntariamente arquivos MSI e arquivos ZIP recebidos via KakaoTalk, disfarçados como software legítimo de aconselhamento.

    Nunca abra anexos, mesmo de contatos conhecidos, a menos que:

    • você estivesse esperando o arquivo;
    • tenha verificado por um canal de comunicação separado (ligação, não mensagem) que a pessoa realmente o enviou;
    • o tenha escaneado com antivírus atualizado;
    • entenda o que o arquivo faz.

    Preste atenção especial a:

    • .msi (instaladores do Windows);
    • .exe (executáveis);
    • .zip, .rar, .7z (arquivos compactados que podem conter executáveis);
    • .scr (protetores de tela, frequentemente malware);
    • documentos do Office com macros habilitadas.

  2. Use software de detecção e resposta em endpoint (EDR).

    Antivírus doméstico não é mais suficiente contra malwares sofisticados. Considere soluções de nível corporativo, como o Windows Defender for Business (incluído no Microsoft 365 Business Premium) ou o Bitdefender GravityZone.

    RATs são projetados para evitar detecção e podem contornar medidas comuns de segurança, como firewalls, sistemas de detecção de intrusão e controles de autenticação. Portanto, você precisa de detecção comportamental que identifique padrões de atividade suspeitos, não apenas varredura baseada em assinaturas.

  3. Isole atividades sensíveis em dispositivos separados.

    Se você trabalha com informações sensíveis ou é provável que seja alvo, considere:

    • usar um dispositivo “limpo” dedicado para transações financeiras e gerenciamento de contas críticas;
    • nunca instalar softwares de terceiros nesse dispositivo;
    • usar contas Google diferentes em dispositivos diferentes;
    • manter sua conta de controle do Find My Device separada do seu e-mail do dia a dia.

  4. Monitore suas sessões ativas regularmente.

    Torne isso um hábito semanal:

    1. Acesse myaccount.google.com > Segurança > Seus dispositivos.

    2. Revise todos os dispositivos conectados.

    3. Saia de qualquer coisa que você não reconheça.

    4. Verifique os locais e os carimbos de data/hora: eles correspondem ao seu uso real?

    Vai alla sezione "Sicurezza" nelle impostazioni di Google, quindi "I tuoi dispositivi" per visualizzare tutti i dispositivi.

  5. Ative a autenticação de dois fatores baseada em hardware.

    Embora o roubo de cookies de sessão ainda possa contornar até mesmo 2FA por hardware se o malware estiver rodando em um dispositivo já autenticado, chaves físicas dificultam significativamente porque exigem presença física para a autenticação inicial.

    Entretanto, nem toda 2FA é igual:

    2FA por SMS: pode ser interceptada por malware com acesso a notificações

    Apps autenticadores: melhores, mas ainda vulneráveis a sequestro de sessão

    Chaves de segurança de hardware: tokens físicos que usam verificação criptográfica

    Passkeys: autenticação de nova geração vinculada a dispositivos específicos

    Como ativar: vá em myaccount.google.com > Segurança > Verificação em duas etapas > Escolha “Chave de segurança”.

    Vai nella sezione "Sicurezza e accesso" nelle impostazioni del tuo account, quindi seleziona "Verifica in due passaggi" e aggiungi una "Chiave di sicurezza".

  6. Mantenha backups offline.

    Como apagamentos remotos podem acontecer sem o seu conhecimento ou consentimento (se sua conta for comprometida), mantenha backups offline criptografados:

    • Fotos/Vídeos: use um HD externo com backups regulares, não apenas armazenamento em nuvem;
    • Contatos: exporte regularmente para um arquivo VCF;
    • Documentos importantes: mantenha cópias criptografadas em um pendrive guardado com segurança;
    • Códigos de backup de 2FA: imprima e guarde em local seguro.

a verdade incômoda

O ataque do KONNI teve êxito não por causa de exploits zero-day sofisticados, mas por verdades simples que não gostamos de encarar:

  • Usuários vão abrir anexos de fontes confiáveis (mesmo quando essas fontes estão comprometidas).
  • A segurança do PC é tratada como menos crítica que a do celular (apesar de PCs terem acesso a tudo o que os dispositivos móveis têm).
  • Cookies de sessão são tratados como menos sensíveis que senhas (mas fornecem o mesmo acesso).
  • Serviços em nuvem confiam em sessões autenticadas (sem verificação contínua de comportamento incomum).
  • Projetamos para conveniência primeiro, segurança depois (redefinições de fábrica instantâneas sem período de carência).

As vítimas na Coreia do Sul não foram descuidadas. Elas foram abordadas por pessoas se passando por figuras confiáveis em sua comunidade, oferecendo serviços que pareciam legítimos. Exercitaram níveis normais de cautela — e isso não foi suficiente.

conclusão: segurança é um sistema, não um dispositivo

A lição do KONNI não é sobre o Find My Device ser inseguro. É sobre a ilusão de segurança em nível de dispositivo em um mundo conectado à nuvem.

A segurança do seu celular é tão forte quanto:

A segurança do seu PC (malware pode roubar cookies de sessão)

A autenticação da sua conta (o tipo de 2FA importa — e muito)

A detecção de anomalias do seu provedor de nuvem (a maioria não possui)

Sua estratégia de backup (apagamentos remotos podem acontecer sem o seu consentimento)

Sua consciência sobre cadeias de ataque (engenharia social é o ponto de entrada)

Não podemos mais pensar em proteger dispositivos individuais. Precisamos pensar em proteger todo o ecossistema de dispositivos, contas, sessões e serviços em nuvem que constituem nossas vidas digitais.

O grupo KONNI demonstrou que, com paciência, engenharia social e compreensão de como os serviços em nuvem funcionam, atores estatais podem virar suas próprias ferramentas de segurança contra você.

A segurança do seu celular começa pela segurança do seu PC. Na era da computação conectada à nuvem, não existem dispositivos isolados. Apenas vulnerabilidades interconectadas.

Deixe um comentário

Aprenda com o HeyLocate

Não importa o que você precise encontrar na web, o HeyLocate tem um guia que pode ajudar. Nossos guias passo-a-passo são projetados para serem fáceis de seguir, mesmo para os principiantes da Internet.

Rastrear celular Buscar a localização por número de telefone.
Leia mais
 Melhores Ferramentas para Rastrear um Número de celular online gratis
Os rastreadores de número de telefone são projetados para rastrear a localização de um celular ao inserir um número. Pode ser uma localização geral, como país, região ou cidade, ou uma posição GPS exata até a rua e a casa,...
Anastasia Poida
Março 12, 2026
Busca de Pessoas
Leia mais
 A melhor busca reversa de telefone totalmente gratuita [2026]
A busca reversa de telefone é uma ferramenta que ajuda você a descobrir o nome da pessoa pelo número desconhecido. Alguns serviços fornecem informações básicas sobre o tipo de número, país, região ou operadora de rede, enquanto outros podem até...
Anastasia Poida
Março 13, 2026
Rastrear celular Como rastrear iphone de outra pessoa - Atualizado em 2022
Leia mais
 Como ver a localização de uma pessoa no iPhone [guia para qualquer situação]
Usuários de iOS têm várias opções para rastrear uma pessoa, desde métodos fornecidos pela Apple (Buscar, iMessage, Mapas) até rastreadores gerais de celular e recursos de redes sociais. É essencial conhecer esses métodos. Por quê? Você já ficou curioso para...
Anastasia Poida
Setembro 10, 2025
Blog

Nossa equipe de especialistas pode ajudá-lo

Ajuda:
A Liderança no nicho nos dá a motivação e força para fornecer as melhores soluções para nossos clientes
- Chefe do Departamento de Suporte ao Cliente