Mais de 300 apps maliciosos foram descobertos na Google Play Store, afetando principalmente usuários brasileiros. A campanha fraudulenta, identificada por pesquisadores de segurança da BitDefender, já ultrapassou 60 milhões de downloads. Esses aplicativos tinham como objetivo principal exibir anúncios fora de contexto e roubar dados de usuários, como credenciais e informações de cartão de crédito através de ataques de phishing. Alguns desses apps maliciosos ainda estão disponíveis para download, representando um risco contínuo.
Campanha de Apps Maliciosos na Play Store Atinge Milhões de Usuários
A campanha de fraude, que utilizava mais de 300 aplicativos maliciosos, teve um impacto significativo, com mais de 60 milhões de downloads. Desses, 15 aplicativos ainda estavam ativos no momento da descoberta. Embora os números exatos de downloads por região não tenham sido divulgados, o Brasil lidera a lista de países mais afetados, representando quase 40% das vítimas. Em seguida, estão os Estados Unidos, com aproximadamente 10%, e o México, com cerca de 5%.
Os criminosos empregavam táticas para ocultar os ícones dos aplicativos suspeitos, dificultando a identificação e remoção dos softwares maliciosos pelos usuários. Mesmo quando ofereciam alguma funcionalidade, esses aplicativos exibiam publicidade enganosa em segundo plano, muitas vezes burlando as restrições de interação normalmente impostas.
Um dos aspectos mais alarmantes é que alguns desses aplicativos conseguiam iniciar automaticamente, mesmo sem a ação do usuário, algo que, teoricamente, não seria possível a partir do Android 13. Essa capacidade de autoinicialização representa uma séria ameaça à segurança e privacidade dos usuários.
Os pesquisadores da BitDefender sugerem que a campanha pode ser obra de um único autor ou de um grupo coordenado de criminosos, utilizando a mesma ferramenta de empacotamento. Os aplicativos maliciosos abrangem diversas categorias, desde leitores de QR Code e ferramentas de controle financeiro pessoal até aplicativos de saúde e distribuição de papéis de parede.
Leia também:
Como a Campanha de Apps Maliciosos na Play Store Começou
A investigação revelou que a maioria dos aplicativos maliciosos foi ativada no terceiro trimestre de 2024. No entanto, alguns dos aplicativos suspeitos já existiam antes desse período, operando inicialmente de forma benigna e sem conter qualquer tipo de malware até o terceiro trimestre.
A BitDefender alerta que a campanha ainda está em andamento. O último aplicativo malicioso identificado foi lançado na primeira semana de março de 2025, e 15 desses softwares problemáticos permanecem disponíveis para download na Play Store. Essa persistência destaca a necessidade de vigilância constante e medidas de segurança aprimoradas.
Para auxiliar na identificação, a lista completa dos mais de 300 aplicativos maliciosos foi disponibilizada em um repositório no GitHub. Entre os aplicativos identificados, estão:
- Dropo (dierta);
- Handset Locator (Dzappunit);
- AquaTracker (Nanosmile Studios);
- Daily Spending (chopnownow);
- TranslateScan;
- xScan (AngelaAplicacionesSA);
- ShapeUp (Alinaj Company).
Táticas de Ataque dos Apps Maliciosos na Play Store
A campanha empregava um conjunto complexo de ferramentas para operar de forma automática e discreta no sistema, dificultando a detecção pelas ferramentas de segurança nativas. Essa estrutura permitia ocultar o atalho do aplicativo da bandeja de aplicativos, o que complicava ainda mais a investigação e a desinstalação manual por parte dos usuários. No vídeo divulgado pelos pesquisadores da BitDefender, é possível observar como o ataque se desenvolve.
Pouco tempo após a instalação, o ícone do aplicativo malicioso desaparece da bandeja de aplicativos. Em seguida, ao assistir a um vídeo no YouTube, o programa realiza um ataque de phishing para coletar as credenciais do Facebook do usuário. Além do phishing direcionado ao Facebook, os criminosos também utilizavam alertas falsos e páginas enganosas para persuadir os usuários a fornecer outros tipos de dados pessoais ou a baixar mais aplicativos maliciosos.
O phishing, como mencionado, é uma técnica fraudulenta utilizada para obter informações confidenciais das vítimas, como senhas e dados de cartão de crédito. Os atacantes se disfarçam de entidades confiáveis, como bancos ou redes sociais, para enganar os usuários e levá-los a divulgar seus dados. O termo phishing deriva de “fishing” (pescaria, em inglês), ilustrando a ideia de “lançar uma isca” para atrair as vítimas.
Para se proteger contra essas ameaças, é crucial verificar a autenticidade dos aplicativos antes de instalá-los, evitar clicar em links suspeitos e manter o sistema operacional e os aplicativos sempre atualizados. A segurança digital é uma responsabilidade compartilhada, e a conscientização é a melhor defesa.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
