Apps falsos de WhatsApp e ChatGPT escondem spyware e ameaçam códigos bancários em lojas de terceiros

Aplicativos que imitam serviços consagrados como WhatsApp, ChatGPT e DALLE estão circulando em lojas de terceiros nos Estados Unidos e colocando em risco dados pessoais e financeiros de milhares de usuários. A constatação vem de um relatório da Appknox, empresa especializada em segurança de aplicativos móveis, que analisou listagens fora das lojas oficiais e encontrou desde ferramentas inofensivas de exibição de anúncios até plataformas completas de espionagem capazes de roubar códigos bancários de autenticação.

Investigações apontam para ameaça crescente em lojas alternativas

A equipe da Appknox concentrou a pesquisa em marketplaces não oficiais acessíveis ao público norte-americano. O levantamento detalhou a presença de clones que utilizam nomes de grande apelo para atrair vítimas, explorando a popularidade de sistemas de inteligência artificial e mensageiros amplamente utilizados. Durante a análise, os investigadores mapearam as permissões solicitadas, o tráfego de rede e a estrutura de código de cada aplicativo suspeito. O resultado indica dois perfis de ameaça: adware que visa apenas monetização por impressão de anúncios e spyware que coleta informações sensíveis, incluindo mensagens de texto que contêm senhas de uso único (OTP) enviadas por bancos.

Ao contrário das lojas oficiais, que exigem processos de verificação mais rígidos, plataformas alternativas oferecem inspeção limitada de segurança. Essa fragilidade cria um ambiente fértil para desenvolvedores mal-intencionados republicarem o mesmo código-fonte em múltiplas listagens, alterando apenas nome, ícone ou descrição, o que dificulta o reconhecimento de padrões pelos usuários finais.

O parasita publicitário por trás do nome DALLE 3 AI Image Generator

Entre os aplicativos examinados, o chamado “DALLE 3 AI Image Generator” chamou atenção pela estratégia de camuflagem. Hospedado na loja Aptoide, o software exibe telas que simulam a criação de imagens por inteligência artificial, mas não possui qualquer capacidade real de processamento. Em segundo plano, a aplicação conecta-se a redes de publicidade como Unity Ads, AppsFlyer, Adjust e Bigo Ads. O tráfego capturado demonstra que, após o suposto carregamento de uma ilustração, são exibidos blocos de anúncios e métricas são enviadas para serviços de análise, garantindo receita ao operador do golpe.

Apesar de não executar código malicioso que altere arquivos do sistema ou furte credenciais, o aplicativo representa perda de tempo, consumo de dados móveis e possível coleta de informações de uso para perfis de publicidade, configurando-se como adware. O relatório destaca que a autoria provavelmente pertence a um desenvolvedor que reaproveita modelos prontos e apenas modifica a identidade visual para explorar tendências do mercado de IA, mantendo o mesmo núcleo de monetização baseada em impressões publicitárias.

Esse tipo de ameaça ilustra como o interesse crescente por ferramentas generativas abre espaço para fraudes relativamente simples. Os usuários, motivados por curiosidade, acabam instalando softwares que nada entregam além de anúncios e, em alguns casos, cedem permissões desnecessárias que podem ser utilizadas para rastreamento persistente.

WhatsApp Plus: da promessa de recursos extras ao roubo de identidade

O segundo caso analisado apresenta risco substancialmente maior. Sob o nome “WhatsApp Plus”, o aplicativo promete funções exclusivas ausentes na versão oficial do mensageiro, atraindo quem deseja recursos adicionais. Depois de instalado, solicita acesso a contatos, SMS e contas do dispositivo. Tais permissões, somadas à capacidade de leitura de notificações, possibilitam capturar códigos temporários enviados por instituições financeiras para autenticação de transações.

Com os dados interceptados, criminosos podem realizar fraudes bancárias, abrir novas contas em nome da vítima ou assumir serviços vinculados ao número de telefone. Em ambientes corporativos, a ameaça se estende à interceptação de códigos de autenticação multifator, o que facilita a invasão de plataformas internas. Setores regulamentados, como saúde e serviços de pagamento, enfrentam riscos adicionais de descumprimento de normas como GDPR, HIPAA e PCI-DSS, estando sujeitos a penalidades significativas caso informações confidenciais sejam expostas.

O relatório descreve o aplicativo como uma estrutura completa de spyware, apta a operar silenciosamente no dispositivo após a concessão das permissões. A coleta de dados ocorre em segundo plano, e os pacotes de informações são transmitidos a servidores remotos sem conhecimento do usuário. Dessa forma, além de desvio financeiro imediato, o golpe compromete a identidade digital da vítima, pois e-mails, contatos e até históricos de chamada podem ser utilizados em ataques de engenharia social.

Uso da marca de IA como isca para ataques

A popularização de soluções baseadas em inteligência artificial, impulsionada por modelos de linguagem e geração de imagens, cria um cenário propício para que criminosos explorem a curiosidade do público. Nomes como ChatGPT e DALLE tornaram-se sinônimos de inovação, e qualquer aplicativo que sugira acesso rápido ou gratuito a tais ferramentas tende a acumular downloads rapidamente, especialmente em lojas onde a curadoria é superficial.

Essa conjuntura reduz a barreira de entrada para campanhas maliciosas, pois basta copiar a identidade visual dessas marcas para ganhar legitimidade aos olhos de usuários menos atentos. O relatório da Appknox enfatiza que nem todo software com temática de IA é necessariamente perigoso, porém o volume de clones demonstra que a tendência de usar o termo “AI” como chamariz ganhou força no cibercrime. Em muitos casos, o objetivo final é simples: gerar receita com publicidade, solicitar assinaturas desnecessárias ou coletar dados para futuros ataques direcionados.

Boas práticas de proteção para usuários e organizações

Os pesquisadores reuniram orientações para reduzir a exposição a esse tipo de ameaça. A primeira recomendação é evitar lojas de aplicativos de terceiros sempre que possível. As plataformas oficiais do Google e da Apple mantêm processos de revisão que, embora não sejam infalíveis, eliminam grande parte dos softwares maliciosos antes que cheguem ao público. Quando não houver alternativa, o usuário deve observar atentamente o nome do desenvolvedor, ler comentários de outros consumidores e verificar a quantidade de downloads, buscando indícios de legitimidade.

Outra medida essencial é analisar as permissões solicitadas na instalação. Um gerador de imagens que exige acesso a contatos ou SMS, por exemplo, acende um alerta imediato. Permissões amplas sem justificativa clara podem indicar intenção de coleta de dados, e a recusa ou remoção imediata do aplicativo evita problemas futuros.

Para empresas, o relatório indica a implementação de monitoramento contínuo das lojas a fim de identificar listagens falsas que usem o nome da organização ou de parceiros estratégicos. A rotação segura de chaves de assinatura e a automatização de varreduras de vulnerabilidade em APIs e SDKs complementam a barreira de proteção, pois reduzem chances de que versões adulteradas de aplicativos legítimos sejam distribuídas sem detecção. Além disso, o treinamento periódico de funcionários sobre práticas seguras de download diminui o risco de que dispositivos corporativos sejam contaminados por spyware que vise credenciais internas.

Por fim, estabelecer um protocolo de resposta para reporte e remoção rápida de apps fraudulentos minimiza danos. Ações coordenadas entre equipes de segurança, departamentos jurídicos e provedores de marketplace aceleram o processo de retirada, limitando o número de vítimas e a duração da campanha criminosa.

O relatório da Appknox conclui que a combinação de vigilância constante, restrição de fontes de download e análise crítica das permissões continua sendo a maneira mais eficaz de manter dispositivos e dados protegidos contra aplicativos falsos que exploram temas populares de inteligência artificial e comunicação.