Imagine um malware capaz de “olhar” para a tela do seu celular, interpretar o que está sendo exibido e decidir sozinho onde clicar, imitando com precisão o comportamento humano. Esse é o cenário apresentado por uma nova ameaça para Android descoberta por pesquisadores da Dr.Web, que acende um alerta importante sobre o avanço do malware para Android com inteligência artificial.
A nova família de trojans foi projetada especificamente para realizar fraude de cliques em anúncios digitais, utilizando aprendizado de máquina para enganar sistemas de detecção. O código malicioso faz uso do TensorFlow.js para analisar capturas de tela em tempo real e executar interações falsas, mas extremamente convincentes.
O caso se torna ainda mais preocupante porque parte dessa campanha foi identificada dentro da GetApps, loja oficial da Xiaomi, além de circular em versões modificadas de aplicativos populares distribuídos via APKs e canais no Telegram. O impacto para o usuário inclui consumo excessivo de bateria, uso indevido do plano de dados e riscos adicionais à privacidade.
Como a inteligência artificial está sendo usada na fraude de anúncios no Android
O diferencial dessa ameaça está na forma como a inteligência artificial é aplicada. Em vez de depender de regras fixas ou scripts simples, o malware incorpora modelos de aprendizado de máquina capazes de interpretar elementos visuais exibidos na tela do dispositivo.
Por meio do TensorFlow.js, o trojan analisa imagens capturadas do sistema, identificando botões, banners publicitários e áreas clicáveis. A partir disso, ele decide quando e onde realizar interações, simulando toques, rolagens e pausas com um nível de precisão próximo ao comportamento humano real.
Essa abordagem transforma a fraude de cliques em algo muito mais sofisticado. Para plataformas de anúncios, o tráfego gerado parece legítimo, o que dificulta bloqueios automáticos e amplia o tempo de atividade do malware nos dispositivos infectados.
O que muda em relação aos trojans tradicionais de anúncios
Malwares mais antigos voltados para anúncios normalmente utilizavam JavaScript ou rotinas previsíveis, como abrir páginas em segundo plano ou disparar cliques em intervalos regulares. Esses padrões se tornaram relativamente fáceis de identificar com o tempo.
A nova geração de malware para Android baseada em inteligência artificial rompe esse modelo. Em vez de seguir instruções rígidas, o código aprende com o ambiente. Ele se adapta à resolução da tela, ao layout dos aplicativos e até a mudanças na interface, ajustando seu comportamento para evitar detecção.
Essa capacidade adaptativa representa um salto significativo na evolução das ameaças móveis e demonstra como técnicas legítimas de IA podem ser reaproveitadas para fins maliciosos.
O “modo fantasma” e a execução invisível das ações maliciosas
Outro recurso crítico identificado pela Dr.Web é o chamado “modo fantasma”. Nesse modo de operação, o malware cria uma tela virtual invisível ao usuário, onde as interações fraudulentas acontecem sem qualquer reflexo no display principal.
Enquanto o usuário utiliza o smartphone normalmente, ou até mesmo quando a tela está desligada, o trojan continua executando cliques em anúncios em segundo plano. Não há janelas suspeitas, sobreposições visíveis ou notificações que indiquem atividade anormal.
Além disso, o malware utiliza WebRTC como canal de comunicação, permitindo que operadores controlem remotamente o dispositivo infectado em tempo real. Isso possibilita ajustes dinâmicos nas estratégias de fraude de cliques, tornando a ameaça ainda mais flexível e perigosa.
Aplicativos infectados e principais vetores de disseminação
Segundo o relatório técnico, a campanha utilizou múltiplos vetores para se espalhar. Um dos mais sensíveis foi a publicação de jogos aparentemente inofensivos na GetApps, loja oficial da Xiaomi.
Os aplicativos identificados se apresentavam como jogos casuais simples, incluindo simuladores e títulos de ação genéricos. Após a instalação, o comportamento malicioso era ativado silenciosamente, sem solicitar permissões incomuns que pudessem gerar desconfiança imediata.
Outro vetor importante envolve versões modificadas de aplicativos populares. Mods de Spotify, Netflix e YouTube, amplamente distribuídos em canais de Telegram, Discord e repositórios de APK, também foram associados a essa nova família de malware para Android com uso de inteligência artificial.
Nesses casos, o usuário acredita estar obtendo funcionalidades premium gratuitas, mas acaba permitindo a execução de código malicioso em segundo plano.
Por que usuários da Xiaomi e instaladores de APKs correm mais risco
Usuários de dispositivos Xiaomi estão mais expostos devido à popularidade da GetApps e à flexibilidade do ecossistema da marca, que facilita a instalação de apps fora da Play Store. Embora isso traga vantagens, também amplia a superfície de ataque.
Da mesma forma, usuários que costumam baixar APKs modificados ou versões não oficiais de aplicativos assumem um risco elevado. Esse ambiente alternativo é ideal para a disseminação de malwares avançados, especialmente aqueles que utilizam bibliotecas como o TensorFlow.js para se esconder melhor de análises tradicionais.
Conclusão: a evolução das ameaças móveis exige mais atenção do usuário
A descoberta desse trojan marca um novo estágio na evolução do malware para Android. O uso de inteligência artificial para simular interações humanas demonstra que ameaças móveis estão se tornando mais sofisticadas e difíceis de detectar.
A recomendação é clara. Desinstale imediatamente qualquer aplicativo suspeito, especialmente jogos pouco conhecidos baixados fora da Play Store e versões modificadas de apps populares. Evite fontes não confiáveis e mantenha o sistema sempre atualizado.
O uso de soluções de segurança reconhecidas continua sendo uma das formas mais eficazes de identificar comportamentos anômalos e reduzir riscos. Em um cenário onde a inteligência artificial também é usada por cibercriminosos, a prevenção passa a ser indispensável.
