O Group-IB anunciou sua participação na “Operation Kaerb”, uma ação internacional coordenada pela Europol e Ameripol. A operação, realizada em conjunto com forças policiais e autoridades judiciais da Europa e América Latina, resultou na prisão de 17 cibercriminosos na Argentina, Chile, Colômbia, Equador, Peru e Espanha. Esses criminosos eram responsáveis pela plataforma de phishing como serviço chamada iServer, que tinha como alvo usuários de dispositivos móveis em todo o mundo.
A plataforma iServer, que estava ativa há cinco anos, foi identificada pelas autoridades como responsável por comprometer mais de 1,2 milhão de celulares e fazer cerca de 483.000 vítimas globalmente. O administrador do iServer, um cidadão argentino, foi detido durante a operação conjunta que ocorreu entre 10 e 17 de setembro de 2024.
Inicialmente usada por criminosos falantes da língua espanhola na América do Norte e do Sul, a plataforma expandiu suas atividades para a Europa e outras regiões. Embora a iServer funcionasse como uma plataforma de phishing automatizada, sua particularidade estava na coleta de credenciais para desbloquear celulares roubados, diferenciando-se de outros serviços de phishing. A interface web da iServer permitia que criminosos com pouca habilidade técnica, conhecidos como “unlockers”, roubassem senhas de dispositivos, credenciais de plataformas móveis em nuvem e outras informações pessoais. Esse processo facilitava o desbloqueio de telefones roubados, mesmo com o “Lost Mode” ativado, tornando-os funcionais novamente.
Durante a investigação das atividades ilícitas da iServer, os especialistas do Group-IB desvendaram a estrutura e os papéis dos grupos criminosos que operavam com a plataforma. O criador e desenvolvedor da iServer vendia acesso aos chamados “unlockers” — desbloqueadores de celulares —, que ofereciam serviços de desbloqueio de dispositivos roubados para outros criminosos. Os ataques de phishing eram desenhados especificamente para coletar informações necessárias para acessar dispositivos móveis, como credenciais de usuários e senhas, permitindo aos criminosos desbloquear os aparelhos e desvinculá-los de seus proprietários.
A iServer facilitava esse processo automatizando a criação e envio de páginas de phishing, que imitavam plataformas móveis populares baseadas em nuvem. Com diversas implementações únicas, a plataforma se destacava como uma ferramenta altamente eficaz para o cibercrime.
Os “unlockers” coletavam informações essenciais, como o IMEI, idioma, dados do proprietário e informações de contato, geralmente obtidas através do “Lost Mode” ou plataformas em nuvem. Eles utilizavam domínios de phishing fornecidos pela iServer ou criavam seus próprios domínios para realizar o ataque. Ao escolher o cenário de ataque, a plataforma gerava uma página de phishing e enviava um SMS com um link malicioso para a vítima.
O processo envolvia um link redirecionador, que filtrava e validava o visitante antes de levá-lo à página final de phishing. Se as regras do sistema não fossem atendidas, o acesso era negado. Quando as vítimas inseriam suas credenciais, essas eram verificadas pela plataforma, e, em alguns casos, códigos OTP adicionais eram solicitados.
Finalmente, os criminosos recebiam as credenciais validadas através da interface web da iServer, permitindo que desligassem o “Lost Mode”, desvinculassem o celular da conta do proprietário original e desbloqueassem o dispositivo, completando o ciclo de roubo digital.
