A Google Play Store sempre foi apresentada como um ambiente relativamente seguro para quem usa Android. A presença de verificações automáticas, políticas rígidas e remoções frequentes cria uma sensação de proteção constante. No entanto, novas descobertas mostram que essa confiança pode ser enganosa. Pesquisadores de segurança identificaram novos grupos de malware Android focados em fraude de cliques, capazes de operar silenciosamente até mesmo em lojas oficiais.
Entre essas ameaças estão o GhostAd, analisado pela Check Point, e uma nova família identificada pela Dr.Web, que utiliza TensorFlow.js e conceitos de aprendizado de máquina para simular o comportamento humano. Esses malwares não roubam dados diretamente, mas consomem bateria, dados móveis e desempenho do aparelho, além de gerar lucros ilegais para seus operadores por meio de anúncios fraudulentos.
O cenário acende um alerta importante sobre segurança no Android, mostrando como técnicas de IA estão tornando os aplicativos infectados cada vez mais difíceis de detectar.
O perigo invisível das telas virtuais e do TensorFlow.js
A nova ameaça descoberta pela Dr.Web chama atenção pelo uso de tecnologias legítimas para fins maliciosos. O malware explora o TensorFlow.js, uma biblioteca popular de aprendizado de máquina, para analisar padrões de navegação e simular cliques que parecem completamente humanos.
Diferente de fraudes antigas, que executavam cliques repetitivos e facilmente identificáveis, esse vírus de celular aprende com o ambiente. Ele ajusta intervalos, posições e horários das interações, reduzindo drasticamente as chances de detecção por sistemas automatizados de segurança.
Outro ponto crítico é o uso de telas virtuais invisíveis. O malware cria uma camada gráfica que não aparece para o usuário, mas que carrega anúncios e registra interações falsas em segundo plano. Tudo acontece enquanto a pessoa acredita estar apenas usando um aplicativo comum.
Em alguns casos, foi identificada a presença de transmissão ao vivo do ambiente infectado para servidores remotos. Isso permite que operadores humanos assumam o controle temporário do sistema, ajustando estratégias de fraude em tempo real e burlando mecanismos de proteção do Android.
GhostAd e a persistência na Google Play Store
O GhostAd é um exemplo claro de como o malware Android evoluiu para sobreviver dentro da Google Play Store. Segundo a Check Point, esse grupo conseguiu publicar e manter dezenas de aplicativos maliciosos ativos por longos períodos, acumulando milhões de downloads.
A principal técnica utilizada envolve notificações em branco. Após a instalação, o aplicativo passa dias ou semanas sem exibir qualquer comportamento suspeito. Quando ativado remotamente, ele envia notificações aparentemente vazias, que servem como gatilho para abrir anúncios ocultos e registrar cliques fraudulentos.
Essa abordagem dificulta a análise automática, já que o comportamento malicioso não é executado imediatamente. O aplicativo parece legítimo durante as verificações iniciais, passando pelos filtros da loja oficial.
Os apps infectados geralmente se disfarçam como ferramentas populares, editores simples, utilitários de sistema ou aplicativos de personalização. Muitos alcançam boas avaliações iniciais, infladas artificialmente, o que aumenta ainda mais a confiança dos usuários e melhora o ranking dentro da loja.
Além da loja oficial: Xiaomi GetApps e canais do Telegram
Embora a presença de malware Android na Google Play seja preocupante, o risco cresce exponencialmente fora dela. Pesquisas recentes mostram que lojas alternativas, como a Xiaomi GetApps, também foram usadas para distribuir aplicativos infectados.
Além disso, canais não oficiais se tornaram um vetor extremamente comum. Plataformas como Apkmody, Moddroid e grupos no Telegram oferecem versões modificadas ou supostamente “Premium” de aplicativos populares, incluindo serviços de streaming e música.
Esses pacotes frequentemente contêm vírus de celular embutidos, projetados para executar fraude de cliques, exibir anúncios ocultos ou até baixar módulos adicionais após a instalação. Em muitos casos, o usuário concede permissões excessivas sem perceber, abrindo caminho para a execução silenciosa do malware.
A promessa de recursos pagos gratuitos continua sendo uma das iscas mais eficientes. Quanto maior a popularidade do aplicativo, maior a probabilidade de ele ser explorado como vetor de infecção.
Como saber se seu celular está infectado e como se proteger
Detectar um malware Android focado em fraude de cliques não é simples, mas alguns sinais merecem atenção. Um dos mais comuns é o consumo anormal de bateria, mesmo quando o aparelho está em repouso.
Outro indicativo é o aumento no uso de dados móveis sem explicação clara. Aplicativos maliciosos frequentemente carregam anúncios e se comunicam com servidores externos em segundo plano.
Lentidão repentina, aquecimento excessivo e notificações estranhas, mesmo que aparentemente vazias, também devem ser considerados alertas. Verificar as permissões concedidas a cada aplicativo é uma etapa essencial para manter a segurança no Android.
Antes de instalar qualquer app, é fundamental analisar avaliações negativas recentes e desconfiar de comentários genéricos demais. Manter o sistema atualizado e evitar lojas e downloads não oficiais reduz significativamente o risco de infecção por aplicativos infectados.
O futuro da segurança móvel diante da IA
O uso de inteligência artificial e aprendizado de máquina por criminosos marca uma nova fase no ecossistema de ameaças móveis. O que antes era facilmente identificado por padrões repetitivos agora se adapta ao comportamento humano, elevando o nível de sofisticação dos ataques.
Para os usuários, isso significa que confiar apenas na loja oficial não é mais suficiente. A segurança no Android passa a depender também de hábitos conscientes, atenção aos sinais do sistema e escolhas mais criteriosas na instalação de aplicativos.
Essas campanhas de malware Android mostram que a fraude de cliques não é apenas um problema econômico para anunciantes, mas um risco real para desempenho, bateria e privacidade. Compartilhar informação e manter-se atualizado se torna uma das formas mais eficazes de proteção nesse novo cenário digital.