Esquema malicioso inunda Play Store com apps falsos e afeta milhões de usuários

A Integral Ad Science (IAS) desvendou uma operação fraudulenta de grande escala que inundou a Google Play Store com centenas de aplicativos falsos, afetando mais de 70 milhões de usuários ao redor do mundo. Batizado de “Mirage”, o esquema utilizou quase 300 apps disfarçados de ferramentas úteis para bombardear vítimas com anúncios invasivos e gerar mais de 350 milhões de solicitações de lances publicitários diários, sem oferecer qualquer funcionalidade real aos usuários.

• Severidade máxima: hackers exploram falhas na Cisco para invadir redes
• Google corrige falha gravíssima que comprometia todos os usuários do Chrome

A descoberta demonstra como cibercriminosos têm adaptado suas estratégias após o desmantelamento da operação “Vapor” em fevereiro de 2025. Diferentemente de esquemas anteriores, o Mirage empregou técnicas avançadas de camuflagem que permitiam aos apps fakes funcionarem normalmente quando baixados diretamente da Play Store, ativando seu comportamento fraudulento apenas quando instalados através de links específicos de anúncios.

O impacto da operação se estendeu por todo o mundo, com aplicativos maliciosos alcançando as primeiras posições nos rankings de apps mais baixados em países como Estados Unidos, Reino Unido, Canadá, Austrália e Japão. A descoberta levanta questões críticas sobre a segurança dos ecossistemas de aplicativos para celulares e a necessidade de medidas mais rigorosas para proteger usuários contra esse tipo de ameaça cada vez mais comum.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Esquema de apps fraudulentos com ads infinitos

O Mirage é uma evolução direta do esquema Vapor, que foi desmantelado pelo Google em fevereiro após investigação da IAS. Os criminosos responsáveis pelo Vapor haviam criado uma estratégia peculiar: seus apps maliciosos bombardeavam usuários com anúncios invasivos, mas curiosamente promoviam “limpadores de celular” que prometiam resolver exatamente o problema que estavam causando. O que os usuários não sabiam é que esses limpadores faziam parte de uma nova operação fraudulenta — o Mirage.

“Mirage reflete como esses apps apresentam a ilusão de utilidade, parecendo úteis na superfície, mas não oferecendo nada real por baixo. Como uma miragem, a promessa desaparece no momento em que os usuários interagem”, explicam os pesquisadores da IAS no relatório que o Canaltech teve acesso.

A operação funciona através de uma sofisticada técnica de camuflagem que permite aos apps maliciosos passarem despercebidos pelos sistemas de detecção da Google Play Store. Quando baixados normalmente da loja, os aplicativos — que se disfarçam principalmente como limpadores de sistema, otimizadores de bateria e ferramentas de produtividade — funcionam aparentemente de forma normal e podem até parecer inofensivos para revisores e usuários iniciais.

O comportamento fraudulento só é ativado quando o mesmo app é instalado através de links específicos de referência publicitária, como quando um usuário clica em um anúncio in-app promovendo a aplicação. Uma vez ativados, os apps se transformam em verdadeiras máquinas de geração de anúncios fora de contexto. Propagandas aleatórias em tela cheia começam a aparecer agressivamente, muitas vezes independentemente de qualquer ação do usuário, surgindo no meio de outros aplicativos ou quando o dispositivo deveria estar inativo.

Mais de 70 milhões de pessoas afetadas

A dimensão do esquema Mirage é impressionante tanto em escala quanto em sofisticação. O IAS Threat Lab identificou quase 300 IDs de aplicativos vinculados à operação, que coletivamente acumularam mais de 70 milhões de downloads e geraram mais de 350 milhões de solicitações de lances publicitários por dia. Para contextualizar a magnitude, esses números superam significativamente a operação Vapor predecessora, que havia afetado 56 milhões de downloads através de 180 apps.

Os criminosos desenvolveram uma estratégia multicamadas para evitar detecção e maximizar o alcance. Primeiro, distribuíram suas operações através de centenas de contas de desenvolvedores na Google Play Store, incluindo contas recém-criadas com histórico mínimo e contas anteriormente dormentes que foram reativadas especificamente para o esquema. “Muitos dos apps foram lançados sob contas de desenvolvedores totalmente novas com muito pouco histórico — frequentemente contas que tinham apenas um ou dois apps cada”, detalha o relatório da IAS.

Uma das táticas mais alarmantes foi o uso sistemático de instalações falsas feitas por bots para manipular os algoritmos de classificação da Play Store. Os pesquisadores observaram que praticamente todos os apps Mirage investigados apresentaram um crescimento anormalmente rápido no número de downloads, especialmente nas primeiras semanas após o lançamento. Um exemplo marcante foi o app “CleanUp Master”, que conseguiu alcançar a posição número 1 na lista “Top New Free” da Play Store nos EUA, além de aparecer entre os 5 apps gratuitos novos mais baixados no Reino Unido, Canadá, Austrália e Japão.

Tamanha manipulação criou um ciclo vicioso perigoso. “Ao inflar os números de instalação, os fraudadores conseguiram empurrar esses apps para o topo das tabelas de tendências”, explica o relatório. “Essas classificações altas criaram um ciclo de feedback: usuários reais do Android, vendo uma ferramenta de limpeza em destaque nas tabelas, assumiam sua popularidade ou utilidade e procediam para baixá-la em grande número, involuntariamente se tornando as próximas vítimas.”

O IAS Threat Lab afirma que a investigação se revelou uma verdadeira caixa de Pandora. Cada app Mirage desmantelado apontava para vários outros, mostrando uma operação dinâmica que recorrentemente criava novas identidades através de reempacotamento automatizado ou semiautomatizado que alterava nomes, ícones e detalhes menores antes da resubmissão. Mais preocupante ainda, alguns desenvolvedores identificados na investigação Vapor ressurgiram no Mirage, reciclando o mesmo código de app com mudanças menores e fazendo upload para a Play Store sob as mesmas contas com títulos variados.

Ameaça neutralizada

A neutralização do esquema Mirage foi resultado de uma colaboração estreita entre o IAS Threat Lab e o Google. Após correlacionar padrões anormais de tráfego e confirmar as táticas de fraude publicitária no final de maio de 2025, a IAS compartilhou seus achados com a equipe da Play Store, resultando na remoção imediata de todos os apps fraudulentos identificados.

O resultado da cooperação mostra que as solicitações de lances publicitários dos apps Mirage caíram mais de 95% após a remoção e permaneceram efetivamente próximas de zero desde então. “Essas quedas pronunciadas e simultâneas em numerosas famílias de apps demonstram a minuciosidade da remoção e reforçam o valor do compartilhamento coordenado de inteligência”, destacam os pesquisadores.

Além da remoção da Play Store, o Google implementou proteções através do Google Play Protect, que agora alerta usuários e desabilita automaticamente esses apps, mesmo quando originários de fontes externas à loja do Android.

Para além das medidas implantadas pelo Google, os usuários devem ser cautelosos ao baixar apps, especialmente os que prometem otimização de sistema ou limpeza, verificar as avaliações e histórico do desenvolvedor, evitar clicar em anúncios que promovem apps e manter o Google Play Protect ativo.

Leia mais no Canaltech

• Veo3 pode ser usado para enganar sistemas de reconhecimento facial
• Empresas usam IA para monitorar funcionários no Slack e Teams
• Usa VPN? Falha neste cliente pode ter vazado o seu endereço IP

Leia a matéria no Canaltech.