Uma campanha massiva de aplicativos maliciosos chamou a atenção do mercado de cibersegurança em fevereiro de 2025: mais de 60 milhões de downloads globais foram atribuídos a apps disfarçados de utilitários simples, mas que escondiam códigos maliciosos para exibir anúncios invasivos, roubar dados sensíveis e enganar usuários com páginas falsas.

O Brasil está entre os países mais afetados, impulsionado por fatores como a popularidade do Android, o hábito de instalar apps fora das lojas oficiais e o baixo nível de maturidade em segurança digital.

Neste artigo, você vai entender como os cibercriminosos atuam, como identificar um aplicativo malicioso e o que fazer para proteger seus dispositivos móveis e dados contra essas ameaças digitais.

A engenharia por trás do golpe

Ao contrário do que muitos acreditam, esse tipo de ataque não depende mais de apps “visivelmente suspeitos”. O vetor atual é mais sofisticado. Os criminosos publicam um aplicativo funcional e legítimo, que passa pela triagem inicial das lojas, e só nas versões seguintes adicionam os módulos maliciosos, uma técnica conhecida como versionamento.

Além disso, os apps exploram APIs do sistema de maneira abusiva, utilizando recursos como:

• DisplayManager.createVirtualDisplay() para simular uma interface e projetar anúncios em tela cheia sobre outros aplicativos, mesmo sem permissões explícitas.
• Atividades iniciadas em segundo plano, sem interação do usuário, usando chamadas nativas encapsuladas em bibliotecas ofuscadas.
• Content Providers manipulados para inicializar código malicioso imediatamente após a instalação, antes mesmo de o app ser aberto pela primeira vez.
• Ícones ocultos dinamicamente, impedindo o usuário de localizar o app na gaveta de aplicativos, dificultando a desinstalação.
• Mudança de identidade do app, com nomes e ícones de aplicativos legítimos para passar despercebido até mesmo nas configurações do sistema. 

Qual o objetivo real? Fraude de anúncios é só a superfície

O principal vetor é a fraude por anúncios. Os apps maliciosos interceptam o dispositivo e exibem anúncios em tela cheia, sem relação com o conteúdo acessado, gerando milhões de impressões falsas e faturamento publicitário ilícito.

Mas não para por aí. Diversos desses aplicativos também conduzem o usuário a páginas falsas de login, solicitando credenciais de redes sociais, dados bancários e cartões de crédito. Trata-se de phishing disfarçado com identidade visual convincente, executado por meio de APIs nativas que escapam do controle do sistema.

Além disso, os aplicativos trocam informações com servidores de C2 (Command & Control) usando criptografia com chaves polimórficas únicas por app, dificultando a análise forense e bloqueios por assinatura.

Por que o Brasil virou o principal alvo da campanha?

O Brasil se destaca como um dos países mais visados por campanhas de aplicativos maliciosos por diversos fatores estruturais e comportamentais. De acordo com um levantamento, o Brasil foi o país da América Latina com mais vazamentos de dados em 2023, com mais de 100 milhões de contas expostas — um indicativo claro da fragilidade dos controles digitais.

Além disso, o Android representa cerca de 85% do mercado de smartphones no país, segundo dados de uma ferramenta de análise web, tornando o ambiente especialmente atraente para ameaças que visam esse sistema.

A alta adesão a aplicativos gratuitos e a popularidade de lojas alternativas, somadas à falta de hábitos sólidos de cibersegurança, expõem milhões de usuários a riscos diários. No contexto corporativo, o uso de dispositivos pessoais para fins profissionais amplia a superfície de ataque e compromete redes inteiras.

Riscos reais para empresas e usuários

Aplicativos maliciosos que exploram fraudes por anúncios não são apenas um incômodo visual. Eles representam riscos concretos à privacidade, integridade dos dados e continuidade das operações, como:

• Roubo de identidade digital com coleta de credenciais
• Comprometimento de dados bancários e financeiras
• Instabilidade do sistema e degradação do desempenho do dispositivo
• Exfiltração de dados do aparelho, incluindo modelo, geolocalização, apps instalados e hábitos de uso.

Além disso, ao ganhar persistência, essas aplicações conseguem se manter ativas mesmo após reinícios, atualizações ou limpezas parciais do sistema e, em alguns casos, instalam novos payloads remotamente.

No ambiente corporativo, isso pode evoluir para comprometimento da rede, vazamento de informações confidenciais e danos à reputação da organização.

Por que antivírus convencionais não bastam

Essas ameaças operam num nível mais baixo e muitas vezes mascarado. A maioria dos antivírus móveis se baseia em assinaturas ou detecção de comportamento comum, e falha ao lidar com código nativo, strings ofuscadas ou cargas dinâmicas.

A proteção precisa evoluir para um nível de detecção comportamental pós-instalação, capaz de analisar anomalias mesmo em apps que passaram pelo processo de aprovação das lojas.

A tecnologia deve ser capaz de:

• Monitorar chamadas nativas suspeitas
• Detectar tentativas de esconder ícones ou iniciar serviços sem permissão
• Interceptar conexões anômalas em tempo real
• Bloquear ad displays fora de contexto
• Registrar e alertar sobre tentativas de exfiltração de dados.

Como identificar um app malicioso antes que seja tarde?

1. Não confie apenas na origem do app.

Muitos dos apps maliciosos estavam, sim, disponíveis em lojas oficiais. Verifique avaliações, permissões solicitadas e funcionalidades inesperadas.

2. Use soluções de segurança com detecção em tempo real, baseadas em comportamento.

Não basta verificar a origem, é preciso inspecionar o que o app faz, não só o que ele diz que faz.

3. Acompanhe o tráfego do dispositivo.

Uma solução que oferece observabilidade e monitora conexões de saída pode alertar sobre comportamento suspeito.

4. Eduque colaboradores e usuários finais.

Muitos desses apps são baixados com promessas de funcionalidades úteis, como economia de dados, rastreio de saúde ou segurança digital, ironicamente. A consciência ainda é uma barreira poderosa.

5. Aplique segmentação e gestão de permissões.

Em ambientes corporativos, não permita instalação irrestrita de apps e monitore o inventário de dispositivos gerenciados.

A ameaça é real, ativa e invisível aos olhos desatentos

Campanhas de aplicativos maliciosos estão em constante evolução e se tornam cada vez mais difíceis de detectar com soluções convencionais. Mesmo apps disponíveis em lojas oficiais podem conter códigos nocivos, tornando essencial adotar uma abordagem de segurança baseada em comportamento.

A segurança mobile moderna exige ferramentas de visibilidade avançada, resposta em tempo real e análise comportamental contínua.

Quer saber mais sobre como manter seus dados seguros em dispositivos móveis? Acompanhe nosso blog para mais conteúdos sobre mitigação de riscos com inteligência e tecnologia de ponta.