Fraude Publicitária

Pesquisadores de cibersegurança revelaram uma nova operação de fraude publicitária e malvertising chamada Trapdoor, que visa usuários de dispositivos Android. A operação, identificada pela equipe Satori Threat Intelligence da HUMAN, envolve 455 aplicativos maliciosos e 183 domínios de comando e controle (C2) controlados por criminosos. Os usuários baixam aplicativos que parecem ser utilitários, como visualizadores de PDF ou ferramentas de limpeza de dispositivos, sem saber que estão instalando um software malicioso. Esses aplicativos iniciam campanhas de malvertising, levando os usuários a baixar outros aplicativos maliciosos que carregam anúncios indesejados. A operação é autossustentável, transformando a instalação de um aplicativo em um ciclo de geração de receita ilícita. Em seu auge, a Trapdoor gerou 659 milhões de solicitações de lances por dia, com mais de 24 milhões de downloads de aplicativos associados. A campanha se destaca pelo uso de sites de cashout baseados em HTML5 e técnicas de ativação seletiva que evitam a detecção. Após a divulgação responsável, o Google removeu todos os aplicativos maliciosos identificados da Play Store, neutralizando a operação.

Pesquisadores da empresa de segurança Socket identificaram mais de 100 extensões maliciosas na Chrome Web Store que tentam roubar tokens de autenticação do Google OAuth2, implantar backdoors e realizar fraudes publicitárias. Essas extensões fazem parte de uma campanha coordenada que utiliza a mesma infraestrutura de comando e controle (C2). Os atacantes publicaram as extensões sob cinco identidades diferentes, abrangendo categorias como clientes de Telegram, jogos de azar e ferramentas de tradução. A campanha utiliza um backend central hospedado em um VPS da Contabo, com subdomínios dedicados a roubo de sessões e coleta de dados. Entre as extensões, uma se destaca por roubar sessões do Telegram a cada 15 segundos, permitindo que os atacantes troquem a conta do Telegram do usuário sem seu conhecimento. A Socket notificou o Google sobre a campanha, mas as extensões ainda estão disponíveis na loja. Os usuários são aconselhados a verificar suas extensões instaladas e desinstalar qualquer correspondência com as IDs publicadas pela Socket.

Pesquisadores de cibersegurança revelaram um novo esquema de fraude publicitária que utiliza técnicas de envenenamento de busca (SEO) e conteúdo gerado por inteligência artificial (IA) para disseminar notícias enganosas no feed do Google Discover. Nomeada de Pushpaganda pela equipe de pesquisa da HUMAN, a campanha tem como alvo usuários de Android e Chrome, enganando-os para que ativem notificações de navegador que levam a scareware e fraudes financeiras. Durante seu pico, cerca de 240 milhões de solicitações de lances foram associadas a 113 domínios relacionados à campanha, que inicialmente focou na Índia, mas se expandiu para regiões como EUA, Austrália, Canadá, África do Sul e Reino Unido. Os pesquisadores destacam que os golpistas atraem usuários para histórias falsas, forçando-os a habilitar notificações que enviam ameaças legais falsas e fraudes. Essa técnica não é nova, mas a combinação com IA a torna mais eficaz. A HUMAN também identificou uma rede de mais de 3.000 domínios e 63 aplicativos Android que constituem um dos maiores mercados de lavagem de fraude publicitária já descobertos, reforçando a necessidade de monitoramento contínuo e inteligência de ameaças para mitigar esses riscos.

Recentemente, contas do TikTok for Business estão sendo alvo de uma campanha de phishing que dificulta a análise por bots de segurança. Os atacantes visam essas contas devido ao seu potencial para fraudes publicitárias e distribuição de conteúdo malicioso. A empresa Push Security relaciona essa campanha a uma anterior que afetou contas do Google Ad Manager. Os criminosos utilizam páginas de phishing hospedadas no Cloudflare, registradas em um domínio frequentemente associado a atividades cibernéticas ilícitas. Os usuários são atraídos por links que redirecionam para páginas falsas que imitam o TikTok e o Google Careers, solicitando informações básicas para validar o uso de e-mails corporativos. Após essa validação, uma página de login falsa captura credenciais e cookies de sessão, permitindo que os atacantes acessem contas, mesmo com a autenticação de dois fatores (2FA) ativada. É crucial que os usuários estejam atentos a convites e ofertas de emprego suspeitas e verifiquem sempre os domínios antes de inserir credenciais. A campanha destaca a vulnerabilidade das contas de negócios e a necessidade de medidas de segurança robustas.

Um novo malware sofisticado para Android, chamado Keenadu, foi descoberto embutido em firmware de várias marcas de dispositivos, permitindo que ele comprometa todos os aplicativos instalados e obtenha controle irrestrito sobre os dispositivos infectados. Segundo a Kaspersky, Keenadu possui múltiplos mecanismos de distribuição, incluindo imagens de firmware comprometidas entregues via OTA, backdoors, aplicativos de sistema modificados e até mesmo aplicativos na Google Play. Até fevereiro de 2026, foram confirmados 13.000 dispositivos infectados, com muitos localizados em países como Rússia, Japão, Alemanha, Brasil e Países Baixos. A variante integrada ao firmware é a mais potente, não se ativando se o idioma ou fuso horário estiver associado à China, o que pode indicar sua origem. Embora os operadores do malware estejam focados em fraudes publicitárias, suas capacidades incluem roubo de dados e ações arriscadas no dispositivo comprometido. A Kaspersky alerta que, devido à profundidade da infecção no firmware, a remoção padrão do Android não é possível, recomendando que os usuários busquem versões limpas do firmware ou considerem substituir o dispositivo por um de fornecedores confiáveis.

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

Um novo conjunto de 17 extensões maliciosas associadas à campanha GhostPoster foi identificado nas lojas do Chrome, Firefox e Edge, totalizando 840.000 instalações. A campanha, inicialmente relatada em dezembro pela Koi Security, utiliza código JavaScript malicioso oculto em imagens de logotipos para monitorar a atividade do navegador e implantar uma porta dos fundos. O código busca um payload ofuscado de um recurso externo, que rastreia a navegação da vítima, sequestra links de afiliados em plataformas de e-commerce e injeta iframes invisíveis para fraudes publicitárias. Um relatório da LayerX revela que a campanha continua ativa, com algumas extensões presentes desde 2020, indicando uma operação de longo prazo. A extensão ‘Instagram Downloader’ apresenta uma variante mais avançada, movendo a lógica maliciosa para o script de fundo e utilizando um arquivo de imagem como contêiner de payload. Embora as extensões tenham sido removidas das lojas da Mozilla e Microsoft, usuários que as instalaram ainda podem estar em risco. O Google confirmou a remoção das extensões da Chrome Web Store, mas a ameaça persiste para aqueles que as mantêm em seus navegadores.

Uma nova campanha chamada GhostPoster explorou arquivos de logotipo associados a 17 extensões do navegador Mozilla Firefox para embutir código JavaScript malicioso. Esse código é projetado para sequestrar links de afiliados, injetar códigos de rastreamento e cometer fraudes de cliques e anúncios. As extensões, que foram baixadas mais de 50.000 vezes, foram retiradas do ar após a descoberta pela Koi Security. Entre elas, estavam programas que prometiam funcionalidades como VPNs e bloqueadores de anúncios. O ataque se inicia quando o arquivo de logotipo é carregado, permitindo que o código malicioso busque um servidor externo para obter um payload principal. O malware é capaz de realizar diversas atividades fraudulentas, como desviar comissões de afiliados e injetar códigos de rastreamento em páginas visitadas. Além disso, técnicas de evasão foram implementadas para dificultar a detecção, como a ativação do malware apenas após seis dias da instalação. A campanha destaca a vulnerabilidade de extensões de navegador, que podem ser utilizadas para atividades maliciosas, colocando em risco a privacidade e a segurança dos usuários.

O ator de ameaças conhecido como Vane Viper foi identificado como um fornecedor de tecnologia publicitária maliciosa, utilizando uma rede complexa de empresas de fachada para evitar responsabilidades. De acordo com um relatório técnico da Infoblox, em colaboração com Guardio e Confiant, Vane Viper tem fornecido infraestrutura para malvertising, fraudes publicitárias e proliferação de ciberameaças por pelo menos uma década. O grupo não apenas intermedia tráfego para distribuidores de malware e phishers, mas também realiza suas próprias campanhas. Uma técnica notável utilizada por Vane Viper é o abuso de permissões de notificações push, permitindo que anúncios sejam exibidos mesmo após o usuário sair da página inicial. A análise revelou que Vane Viper é responsável por cerca de 1 trilhão de consultas DNS em redes de clientes, explorando centenas de milhares de sites comprometidos. Além disso, a operação registra um grande número de novos domínios mensalmente, com picos de até 3.500 domínios em um único mês. A empresa PropellerAds, que nega qualquer envolvimento em atividades maliciosas, está ligada a Vane Viper, levantando preocupações sobre a segurança das plataformas de publicidade digital. Este cenário representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a conformidade com a LGPD é crucial.

Uma operação massiva de fraude publicitária, conhecida como SlopAds, foi identificada, envolvendo um conjunto de 224 aplicativos que atraíram 38 milhões de downloads em 228 países. Segundo o relatório da equipe de pesquisa da HUMAN, esses aplicativos utilizam esteganografia e criam WebViews ocultos para direcionar usuários a sites controlados pelos criminosos, gerando impressões e cliques fraudulentos em anúncios. Durante seu pico, a operação gerou 2,3 bilhões de solicitações de lances por dia, com a maior parte do tráfego proveniente dos EUA (30%), Índia (10%) e Brasil (7%). A fraude é ativada apenas quando o aplicativo é baixado após um clique em um anúncio, o que leva à instalação de um módulo de fraude chamado FatModule. Este módulo é disfarçado em arquivos PNG, que ocultam o APK e coletam informações do dispositivo. A HUMAN também destacou que a operação SlopAds representa um aumento na sofisticação das fraudes publicitárias móveis, complicando a detecção ao misturar tráfego malicioso com dados legítimos. O Google já removeu os aplicativos envolvidos da Play Store, interrompendo a ameaça.