Pesquisadores de cibersegurança têm mostrado uma campanha massiva de aplicativos fraudulentos no Google Play que prometiam, sem qualquer fundamento técnico, mostrar histórias de chamadas, SMS e registros do WhatsApp para qualquer número em troca de uma assinatura. O engano não utilizava permissões invasivos ou malware complexo: bastava uma interface simples e a promessa de dados “mágicos” para convencer milhões de usuários, em particular na Índia e na região Ásia-Pacífico.
De acordo com as análises públicas da pesquisa, essas aplicações entregavam informações inventadas incorporadas em seu próprio código e empurrando o usuário a pagar por três vias: a facturação oficial do Google Play, passarelas de pagamento UPI integradas em apps de terceiros, ou formulários de cartão dentro da app. A combinação de uma falsa aparência oficial — inclusive publicando desenvolvedores com nomes que imitavam instituições públicas — e métodos de cobrança difíceis de reembolsar amplificou a fraude.
Para além do impacto económico direto nos que pagaram assinaturas que não entregaram nada real, há uma lição de segurança importante: a ausência de permissões sensíveis não garante que uma aplicação seja segura ou legítima. Muitas vítimas confiaram na loja oficial e em relatos inflados; outras foram atraídas por mensagens em redes e WhatsApp que simulavam autoridade. O fato de algumas cobranças serem feitas por aplicativos de pagamento populares aplicou o acesso a reembolsos quando as transações não passaram pelo Google Play.
Este caso conecta com outras campanhas que usam engenharia social e suplantação de marcas para roubar dados e dinheiro. Assinaturas de segurança documentaram operações mais agressivas que combinam phishing, APKs fora da loja e malware capaz de exfiltrar informações e autorizar transferências. O risco real não é apenas a fraude pontual, mas a porta que se abre a fraudes mais sofisticados e ao roubo de contas financeiras.
Se você acredita que você pode ter sido afetado, toma medidas imediatas: remove as apps suspeitas, verifique e cancela qualquer assinatura da sua conta do Google Play, verifique os extratos bancários e solicita reversão de acusações quando for caso disso; para pagamentos fora do Google Play contacta o fornecedor do pagamento (UPI, app financeira, banco) e denuncia a operação. Muda senhas e ativa a verificação em dois passos nas suas contas mais sensíveis, e monitoriza comunicações incomuns que peçam dados ou códigos.
Para reduzir a exposição a este tipo de fraude, verifica sempre o desenvolvedor e as avaliações com critério, desconfia de promessas que soam impossíveis (como “história de chamadas de qualquer número”), evita instalar apps que não sejam populares ou verificadas e limita a instalação de apps fora do Google Play. Em ambientes corporativos, controles como a gestão de dispositivos móveis (MDM), políticas que desfazem o sideloading e formação contínua para funcionários são medidas eficazes para mitigar risco.
O problema também tem um componente regulatório e de plataforma: lojas e processadores de pagamento devem reforçar a detecção de fraudes, a validação de desenvolvedores e os mecanismos de reembolso para proteger usuários vulneráveis. Enquanto essas melhorias são implementadas, os usuários precisam de mais ceticismo e ferramentas de proteção ativas, como o Google Play Protect e a supervisão de movimentos financeiros.
Se você quer aprofundar a natureza dessas campanhas e recomendações técnicas, consulte as análises de empresas de segurança e as políticas da loja: WeLiveSecurity (ESET) oferece relatórios sobre fraude móvel e tendências, e Group‐IB documenta campanhas que combinam phishing e malware para roubo financeiro. Para dúvidas sobre reembolsos e compras no Google Play, a própria documentação do Google explica procedimentos e direitos dos usuários em seu centro de ajuda: Política e pedidos de reembolso do Google Play.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...