Um recurso criado para proteger seu celular Android em caso de roubo ou perda está sendo usado por hackers para apagar remotamente seus dados.
De acordo com um novo relatório da empresa de segurança Genians, o grupo de hackers norte-coreano APT37 encontrou uma forma de abusar do Google Find Hub (conhecido como “Encontrar Meu Dispositivo”) para realizar ataques de limpeza de dados em smartphones Android.
O golpe, embora complexo, tem um objetivo claro: silenciar as vítimas e apagar todas as informações de seus celulares, impedindo que recebam alertas de segurança e dificultando a recuperação de contas comprometidas. O ataque começa no computador da vítima, passa pelo roubo das credenciais do Google e termina com o comando remoto de apagar o Android via Find Hub.
Como funciona o novo ataque do APT37
A infecção começa no computador (PC)
Diferente do que muitos imaginam, o ataque não começa no celular, mas sim no computador da vítima.
Os hackers usam táticas de spear-phishing, enviando mensagens personalizadas, no caso investigado, via aplicativo KakaoTalk, que se passam por agências governamentais sul-coreanas.
Essas mensagens contêm anexos maliciosos (arquivos .MSI ou .ZIP) que, ao serem abertos, instalam um Trojan de Acesso Remoto (RAT), como o RemcosRAT ou o QuasarRAT.
Esses programas permitem que os atacantes controlem o computador à distância e roubem informações sensíveis.
O roubo das credenciais do Google
Uma vez que o malware está ativo no PC, ele é usado para coletar senhas e credenciais armazenadas nos navegadores.
O principal alvo dos invasores é a conta Google da vítima, a mesma usada para sincronizar o celular Android, acessar o Gmail e usar o “Encontrar Meu Dispositivo”.
Com essas credenciais, os hackers ganham uma chave de acesso poderosa ao ecossistema digital da vítima.
O abuso do “Encontrar Meu Dispositivo”
Com o login e a senha do Google comprometidos, os criminosos entram no painel do Google Find Hub pela web.
De lá, eles podem rastrear a localização GPS do celular, emitir alarmes sonoros e, o mais perigoso, executar o comando de limpeza remota (factory reset), uma função legítima criada pela Google para proteger usuários em caso de perda ou roubo do aparelho.
O relatório da Genians indica que o grupo APT37 verificava o GPS das vítimas antes de apagar o Android, esperando até que a pessoa estivesse fora de casa ou do escritório, reduzindo suas chances de resposta rápida.
Em alguns casos, os hackers repetiram o comando de limpeza três vezes seguidas para garantir que todos os dados fossem destruídos.
Por que os hackers estão apagando os celulares?
O objetivo final desses ataques não é roubar o celular, mas eliminar provas e silenciar a vítima.
Ao forçar a redefinição de fábrica, os hackers desconectam o usuário de aplicativos de mensagens, como o KakaoTalk, impedindo o recebimento de alertas de login suspeito e códigos de verificação.
Enquanto isso, o computador da vítima, já comprometido pelo RAT, continua ativo, permitindo aos invasores espalhar o malware para outros contatos e contas conectadas.
Esse tipo de ataque mostra como os criminosos estão combinando diferentes vetores de infecção (PC + Android + conta Google) para maximizar o impacto.
Como se proteger desse tipo de ataque (o ponto fraco dos hackers)
Apesar de parecer assustador, este ataque depende inteiramente de uma falha humana e de segurança básica: o acesso indevido à conta Google.
A boa notícia é que existem medidas simples e eficazes para se proteger.
Ative a autenticação de dois fatores (MFA)
Essa é a defesa mais importante contra qualquer tentativa de invasão.
Mesmo que os hackers roubem sua senha, eles não conseguirão acessar sua conta Google nem o painel do Find Hub sem o segundo fator de autenticação, que pode ser um código gerado por app, uma chave de segurança física ou uma confirmação no próprio celular.
Essa camada extra de segurança quebra completamente a cadeia de ataque, impedindo o abuso do “Encontrar Meu Dispositivo”.
Mantenha seu computador seguro
O ponto de entrada do ataque foi o PC da vítima.
Por isso, é fundamental manter o sistema e o antivírus atualizados, evitar abrir anexos executáveis (.MSI, .ZIP, .BAT) e desconfiar de mensagens suspeitas, mesmo que aparentem vir de órgãos oficiais ou contatos conhecidos.
Um computador comprometido pode colocar todo o seu ecossistema Google e Android em risco.
Verifique suas contas de recuperação
Certifique-se de que seu e-mail e telefone de recuperação estão atualizados na sua conta Google.
Essas informações são essenciais para reaver o acesso rapidamente caso você perca o controle da conta por qualquer motivo.
Também é recomendável revisar dispositivos conectados e sessões ativas na sua conta Google periodicamente, encerrando acessos desconhecidos.
Conclusão: um alerta para o ecossistema Android
O relatório da Genians deixa claro que grupos como o APT37 estão se tornando cada vez mais criativos, usando ferramentas legítimas de segurança contra os próprios usuários.
O caso serve como um lembrete de que a segurança digital é um sistema integrado, o celular, o computador e as contas online estão todos interligados.
Proteger apenas um elo não basta.
Verifique agora a segurança da sua conta Google e ative a autenticação de dois fatores (MFA).
Essa é sua melhor defesa contra ataques que tentam apagar seu Android e tomar controle da sua vida digital.
