Dados e dinheiro seguem no centro das motivações dos ataques direcionados a usuários de Android.
De versões falsas de aplicativos de mensagens a kits que facilitam a criação de golpes de marketplace, passando por malwares que exploram a popularidade de jogos, as ameaças aos usuários de dispositivos móveis assumem diversas formas e estão em constante evolução.
Confira esta lista de campanhas móveis maliciosas recentes descobertas por pesquisadores da ESET que têm como alvo o sistema operacional Android e entenda melhor como essas ameaças se apresentam.
Se você quer proteger seu dispositivo móvel contra esses ataques, experimente o ESET Mobile Security.
Campanha de espionagem StrongPity
No início de 2023, os pesquisadores da ESET publicaram um artigo sobre a StrongPity, uma campanha de malware que disseminava uma versão trojanizada do popular aplicativo Android Telegram. Essa versão modificada foi empacotada novamente e apresentada como sendo o aplicativo oficial do serviço de videochamadas Shagle, embora o Shagle não possua um app oficial. O aplicativo falso era distribuído por meio de um site que imitava o original.
Imagem 1. Comparação entre o site legítimo (à esquerda) e o site falso (à direita)
No fim das contas, os cibercriminosos aproveitaram a popularidade do Shagle, um aplicativo que conta com 2,5 milhões de usuários ativos para disseminar esse malware e suas diversas funções de spyware, incluindo 11 recursos voltados a gravar chamadas telefônicas, coletar mensagens SMS, registros de chamadas, listas de contatos e muito mais. Caso a vítima conceda ao aplicativo malicioso StrongPity acesso aos serviços de acessibilidade do dispositivo, ele também poderá monitorar notificações recebidas e roubar comunicações de 17 aplicativos, como Viber, Skype, Gmail, Messenger e Tinder.
Campanha Transparent Tribe
Em março de 2023, os pesquisadores da ESET publicaram um artigo sobre uma campanha de ciberespionagem que distribuía backdoors CapraRAT por meio de aplicativos Android de mensagens trojanizados e supostamente seguros; esses apps também acessavam e extraíam informações confidenciais. As vítimas provavelmente foram alvo de um golpe de romance (honey trap), no qual eram inicialmente contatadas em uma plataforma e, em seguida, convencidas a utilizar aplicativos supostamente “mais seguros”, que acabavam instalando e sem saber que eram maliciosos.
Imagem 2. Site de distribuição do CapraRAT se passando pelo MeetUp
Após a vítima fazer login no aplicativo, o CapraRAT começa a interagir com o servidor controlado pelos cibercriminosos, enviando informações básicas do dispositivo enquanto aguarda comandos para executar. Com base nesses comandos, o CapraRAT é capaz de roubar registros de chamadas, listas de contatos, mensagens SMS, gravações de chamadas telefônicas, áudios ambientes gravados, capturas de tela e fotos tiradas pelo próprio malware, entre outros dados.
Ele também pode receber instruções para baixar arquivos, abrir qualquer aplicativo instalado, encerrar apps em execução, fazer chamadas, enviar mensagens SMS, interceptar mensagens recebidas, além de baixar atualizações e solicitar que a vítima as instale.
Mensagens nada privadas
No início de 2023, os pesquisadores da ESET descobriram dezenas de sites falsos que imitavam o Telegram e o WhatsApp, voltados principalmente a usuários de Android e Windows, com versões trojanizadas desses aplicativos de mensagens instantâneas.
Imagem 3. Diagrama de distribuição de apps de mensagens trojanizados
A maioria dos aplicativos maliciosos identificados pelos pesquisadores da ESET são clippers, um tipo de malware que rouba ou altera o conteúdo da área de transferência (clipboard). Alguns desses apps utilizam reconhecimento óptico de caracteres (OCR) para extrair texto de capturas de tela armazenadas nos dispositivos comprometidos. Todos eles tinham como alvo os fundos em criptomoedas das vítimas, com vários dirigidos especificamente a carteiras de criptoativos.
Android GravityRAT
Em junho de 2023, pesquisadores da ESET publicaram uma pesquisa sobre o spyware Android GravityRAT. Esse malware foi distribuído dentro de apps de mensagens maliciosos, porém funcionais, como o BingeChat e o Chatico, ambos baseados no aplicativo OMEMO Instant Messenger.
Imagem 4. Site de distribuição do aplicativo de mensagens malicioso BingeChat
Esse spyware é capaz de roubar registros de chamadas, contatos, mensagens SMS, localização do dispositivo, informações básicas do sistema e arquivos com extensões específicas, como jpg, png, txt e pdf, entre outras. O GravityRAT também pode acessar e extrair backups do WhatsApp, além de receber comandos para excluir arquivos.
SpinOk
Na segunda metade de 2023, a telemetria da ESET detectou um aumento de 89% nas detecções de malware para Android, principalmente devido a um kit de desenvolvimento de software (SDK) de marketing móvel, uma espécie de caixa de ferramentas digital, identificado pela ESET como SpinOk Spyware. Essa ferramenta era oferecida como uma plataforma de jogos e foi incorporada a diversos aplicativos Android legítimos, incluindo muitos disponíveis em lojas oficiais de aplicativos.
Imagem 5. Tendência de detecções Android/SpinOK no 2º semestre de 2023, média móvel de sete dias
Uma vez que um app com o kit SpinOK mencionado é instalado, ele opera como spyware, conectando-se ao servidor de comando e controle dos criminosos e roubando uma variedade de dados do dispositivo, incluindo, potencialmente, o conteúdo sensível da área de transferência (clipboard).
Telekopye
Em 2023, pesquisadores da ESET encontraram o código-fonte de um kit de ferramentas que ajuda grupos bem organizados de golpistas a realizar fraudes de compras online sem necessidade de profundos conhecimentos em TI. O toolkit, que os pesquisadores da ESET batizaram de Telekopye, cria páginas de phishing a partir de modelos pré-definidos, gera e-mails e SMS de phishing e os envia aos usuários alvo.
Imagem 6. Captura de tela falsa gerada (modelo à esquerda, modelo preenchido com texto de exemplo à direita)
Primeiro, os atacantes encontram suas vítimas e tentam conquistar sua confiança, fazendo-as cair em um golpe de compradorv, vendedor ou de reembolso. Quando os invasores entendem que a vítima confia suficientemente neles, usam o Telekopye para criar uma página de phishing a partir de um modelo pré‑montado e enviam a URL para a vítima. Por exemplo, os golpistas induzem a vítima a comprar um item inexistente e, em seguida, encaminham um link para uma página de phishing que imita a página de pagamento do marketplace legítimo onde o suposto produto estava anunciado.
Depois que a vítima envia os dados do cartão por essa página, os atacantes usam essas informações para roubar o dinheiro da vítima.
Kamran
No final de 2023, pesquisadores da ESET identificaram um possível ataque do tipo watering‑hole em um site regional de notícias que publica sobre Gilgit‑Baltistan, uma região disputada administrada pelo Paquistão. Quando aberto em um dispositivo móvel, a versão em urdu do site Hunza News oferecia aos leitores a possibilidade de baixar o app Hunza News para Android diretamente do próprio site; contudo, o aplicativo possuía capacidades maliciosas, especificamente de espionagem.
O spyware Kamran exibia o conteúdo do site Hunza News e contém código malicioso customizado. Ao ser iniciado, o Kamran solicita permissões para acessar vários dados armazenados no dispositivo da vítima. Se as permissões forem concedidas, o spyware Kamran coleta automaticamente dados sensíveis do usuário, incluindo mensagens SMS, lista de contatos, registros de chamadas, eventos de calendário, localização do dispositivo, lista de apps instalados, mensagens SMS recebidas, informações do dispositivo e imagens.
Imagem 7. versões em inglês (esquerda) e urdu (direita) do Hunza News exibidas em um dispositivo móvel
O exploit parece depender da capacidade do agente de ameaça de criar uma carga útil maliciosa (conteúdo) que exiba um app Android como pré‑visualização multimídia. Uma vez compartilhada em um chat, a carga aparece como um vídeo de 30 segundos. Como arquivos de mídia recebidos via Telegram são configurados por padrão para download automático, isso significa que usuários com essa opção ativada vão baixar automaticamente a carga maliciosa assim que abrirem a conversa onde ela foi compartilhada. A opção pode ser desativada manualmente; nesse caso, a carga ainda pode ser baixada tocando no botão de download no canto superior esquerdo do “vídeo” compartilhado.
Ameaças que miram jogadores de Hamster Kombat
Em meados de 2024, pesquisadores da ESET descobriram e analisaram duas ameaças que abusavam do sucesso do Hamster Kombat, um jogo clicker dentro do Telegram no qual os jogadores ganham moeda fictícia ao completar tarefas simples e recebem incentivos para fazer login diariamente.
A primeira ameaça é um app falso, não funcional e malicioso que imita o Hamster Kombat e contém o spyware Android Ratel, capaz de roubar notificações e enviar mensagens SMS. Os operadores do malware usam essa funcionalidade para pagar assinaturas e serviços com os fundos da vítima sem que ela perceba.
Imagem 8. Solicitações de acesso maliciosas do Hamster Kombat
A segunda ameaça consiste em uma coleção de sites falsos que imitam lojas de aplicativos alegando disponibilizar o Hamster Kombat para download. No entanto, ao tocar nos botões “Instalar” ou “Abrir”, o usuário é direcionado apenas para anúncios indesejados.
Phishing em aplicações PWA
Em meados de 2024, a ESET Research publicou um artigo sobre um tipo incomum de campanha de phishing que tinha como alvo usuários móveis clientes de um banco de destaque na República Tcheca. Esta técnica chama atenção por abusar de uma Progressive Web Application (PWA), permitindo a instalação de um aplicativo de phishing a partir de um site de terceiros sem que o usuário precise autorizar a instalação de apps externos.
As fontes iniciais desta campanha incluíam chamadas automatizadas, mensagens SMS e malvertising em redes sociais, que, em última instância, incentivavam as vítimas a abrir uma URL de phishing que as redirecionava para uma página falsa do Google Play Store do aplicativo bancário alvo, ou para um site clone do aplicativo.
Imagem 9. Exemplo de um anúncio malicioso usado nessas campanhas
Após visitar esses sites falsos, usuários Android viam um pop‑up convidando-os a instalar o aplicativo malicioso que imitava o aplicativo bancário legítimo. O aplicativo foi, na verdade, criado com a tecnologia WebAPK, que permite transformar aplicações web em apps que podem ser instalados em dispositivos Android como se fossem nativos ou legítimos. Isso possibilita que os usuários instalem PWAs na tela inicial do Android sem passar pela Google Play Store.
NGate
Ao monitorar uma campanha maliciosa que abusa de Progressive Web Applications (PWA) para roubar credenciais bancárias de alvos na República Tcheca, os pesquisadores da ESET descobriram um ataque realmente inédito relacionado à mesma campanha. Em agosto de 2024, a ESET publicou um artigo sobre o mesmo grupo criminoso aprimorando suas técnicas para possibilitar saques não autorizados em caixas eletrônicos a partir de contas bancárias de clientes de três bancos tchecos.
imagem 10. Arquitetura do NFCGate (fonte: https://github.com/nfcgate/nfcgate/wiki)
Primeiro, os cibercriminosos enganaram as vítimas, fazendo-as acreditar que estavam se comunicando com o banco, e depois as induziram a baixar e instalar um aplicativo bancário falso com um malware exclusivo que a ESET nomeou como NGate. O malware clona os dados de comunicação por campo de proximidade (NFC) dos cartões de pagamento das vítimas usando o NGate e envia essas informações para o dispositivo do atacante. Esse dispositivo então é capaz de imitar o cartão original e sacar dinheiro em um caixa eletrônico.
Nomani
Em 2024, as redes sociais foram inundadas com novos anúncios fraudulentos que promoviam “oportunidades secretas” de investimento, suplementos milagrosos e serviços jurídicos ou de aplicação da lei.
Imagem 11. Distribuição geográfica de malwares e golpes para Android relacionados a NFC no primeiro semestre de 2025
Conclusão
Existem dois pontos principais a destacar a partir desses casos:
Primeiro, como você pode ver, alguns desses ataques cibernéticos e golpes podem ser detectados imediatamente se os usuários prestarem atenção e tiverem algum conhecimento em conscientização de segurança. Blogs de pesquisa, como os mencionados anteriormente, podem servir como fontes valiosas. Usuários de Android que se mantêm informados sobre malwares recém-descobertos e golpes emergentes conseguem aumentar sua percepção de risco, o que lhes permite se proteger melhor contra ameaças online futuras.
Segundo, algumas campanhas maliciosas são mais sofisticadas e difíceis de identificar. Além disso, os cibercriminosos frequentemente miram grupos vulneráveis, incluindo crianças e idosos, que podem estar menos preparados para enfrentar tais perigos. Em qualquer caso, é sempre recomendável contar com uma solução de cibersegurança confiável, como o ESET Mobile Security, que pode detectar e neutralizar essas ameaças e idealmente antes que qualquer dano ocorra ao seu dispositivo ou dados.