Mais de 300 aplicativos maliciosos foram encontrados em uma campanha de fraude na Play Store. Os apps, que acumulam mais de 60 milhões de downloads, foram baixados principalmente por usuários brasileiros, conforme reportou os pesquisadores de segurança do BitDefender nesta terça-feira (18).
Ao todo, a campanha era composta por 331 apps — 15 deles ainda ativos no momento da conclusão da pesquisa. Não foram divulgados números específicos de download por cada região, porém, mas a maioria das vítimas está no Brasil (quase 40%), seguido por Estados Unidos (~10%) e México (~5%).
O principal objetivo da campanha era distribuir anúncios fora de contexto e até persuadir usuários a fornecer credenciais e dados de cartão de crédito em ataques de phishing. Os criminosos usavam uma forma de esconder os ícones dos apps suspeitos da bandeja de aplicativos, assim dificultando a identificação do software malicioso.
Em alguns casos, os apps perigosos até ofereciam certa funcionalidade, mas disparavam publicidade enganosa em segundo plano. Segundo os pesquisadores, eles podiam até exibir anúncios sobre outros programas, ultrapassando restrições normalmente necessárias para esse tipo de interação.
Outro ponto perigoso era a inicialização automática: alguns dos aplicativos maliciosos podem iniciar sem iniciativa do usuário, algo teoricamente impossível a partir do Android 13.
Os pesquisadores apontam que a campanha pode ser de somente um autor, ou de múltiplos criminosos em ação coordenada usando a mesma ferramenta de empacotamento. Os aplicativos maliciosos são de várias categorias, incluindo scanners de QR Code, controle de finanças pessoais, saúde e distribuição de wallpapers.
Ataque começou em 2024
Conforme mostra na pesquisa, a maioria das aplicações maliciosas foram habilitadas no terceiro trimestre de 2023. Contudo, parte dos apps suspeitos também foram inaugurados antes disso, mas eram inicialmente benignos e não continham qualquer malware até o terceiro trimestre.
A campanha ainda está ativa, afirma o BitDefender. O último aplicativo malicioso que compõe o grupo foi lançado na primeira semana de março de 2025 e 15 softwares problemáticos ainda estão disponíveis para download na loja do Google.
Quais eram os apps maliciosos?
Foram encontrados mais de 300 apps maliciosos, e todos os pacotes foram destrinchados em um repositório no GitHub. Abaixo, confira alguns dos softwares que fazem parte da campanha com o nome do respectivo desenvolvedor.
- Dropo (dierta);
- Handset Locator (Dzappunit);
- AquaTracker (Nanosmile Studios);
- Daily Spending (chopnownow);
- TranslateScan;
- xScan (AngelaAplicacionesSA);
- ShapeUp (Alinaj Company).
Como aconteciam os ataques?
A campanha usava um complexo conjunto de ferramentas para atuar no sistema de forma automática e discreta, além de dificultar a detecção por ferramentas de segurança nativas. A estrutura também permitia ocultar o atalho do programa da bandeja de apps, dificultando investigação e desinstalação manual.
No vídeo acima, os pesquisadores do BitDefender mostram como o ataque acontecia. Poucos momentos após a instalação completa, o ícone do app malicioso some da bandeja de apps e, ao assistir um vídeo no YouTube, o programa fez um ataque phishing para coletar credenciais do Facebook.
Porém, o phishing também tentava persuadir o usuário com alertas falsos ou outras páginas enganosas para fornecer outros tipos de dados ou baixar mais apps maliciosos.
O que é phishing?
O phishing é um tipo de crime virtual em que o atacante tenta coletar informações sensíveis da vítima usando fraudes ou outras técnicas enganosas, como páginas falsas que se passam por sites oficiais, links maliciosos contidos em e-mails e mais.
O nome “phishing” vem do termo “fishing” (“pescaria”, em português). A nomenclatura busca ilustrar a dinâmica desse tipo de ataque, em que é colocado uma isca para persuadir as vítimas.
