Pesquisadores da Zimperium zLabs identificaram uma campanha global de fraude em faturamento móvel que comprometeu dispositivos Android em quatro países. Cerca de 250 aplicativos maliciosos foram usados para assinar serviços de SMS pagos em nome das vítimas, tudo sem qualquer consentimento. A campanha esteve ativa entre março de 2025 e a segunda semana de janeiro de 2026.
Para convencer as vítimas a instalar os apps, os criminosos copiaram a aparência de plataformas populares, sendo Facebook Messenger, Threads, TikTok, Minecraft e Grand Theft Auto alguns dos nomes usados como isca. Os países afetados foram Malásia, Tailândia, Romênia e Croácia, afetando operadoras de telefonia específicas de cada região.
smart_display
Nossos vídeos em destaque
Uma vez que o aplicativo malicioso estava instalado, ele verificava o chip do celular para identificar a operadora da vítima. Se ela não fosse uma das alvos, o app exibia uma página web inofensiva para não levantar suspeitas. O golpe somente se revelava nas condições corretas.
Três variantes com técnicas diferentes
A Zimperium identificou três versões do malware, cada uma com um método próprio para completar as assinaturas fraudulentas – sendo a primeira variante a mais automatizada. Para clientes da DiGi, o app carregava páginas de cobrança da operadora em segundo plano, usando código JavaScript para clicar nos botões de confirmação sozinho.
Para interceptar os códigos de verificação enviados por SMS, o malware abusava de uma API legítima do Google chamada SMS Retriever, projetada originalmente para facilitar autenticações em apps confiáveis. No caso da Maxis e da U Mobile, a abordagem era mais direta: o app enviava mensagens SMS para números premium com palavras-chave como “ON HITZ” e “ON A3”.
A segunda variante mirava usuários tailandeses. Ela consultava um servidor dos criminosos para buscar instruções atualizadas e enviava mensagens SMS para números premium em intervalos de 60 e 90 segundos. O espaçamento era intencional para imitar comportamento humano e dificultar a detecção pelos sistemas antifraude das operadoras. Para clientes da TrueMove H, o app ainda roubava cookies de autenticação armazenados no navegador, o que permitia manter sessões ativas no portal de cobrança da operadora.
)
A terceira variante combinava as técnicas anteriores com um sistema de notificação em tempo real via Telegram. Cada vez que uma assinatura era concluída, os criminosos recebiam automaticamente o identificador do dispositivo, o nome do app falso usado, a operadora da vítima e o canal de distribuição que gerou a infecção.
Infraestrutura montada para escalar
Os servidores de comando e controle da operação incluíam domínios como ‘apizep.mwmze[.]com’ e ‘modobomz[.]com’, usados para automatizar as assinaturas e coletar dados das vítimas.
Para medir a eficiência da campanha, os criminosos embutiam nos apps um sistema de rastreamento baseado em cabeçalhos HTTP. O padrão seguia a lógica NomeDoApp-País-PlataformaDeDistribuição-Operadora, o que permitia aos atacantes saber exatamente quais combinações de app falso e plataforma de divulgação geravam mais instalações.
)
Ao todo, a pesquisa mapeou pelo menos 12 números premium distintos sendo explorados. Na Croácia, o código “GYGO” era enviado ao número 866866. Na Romênia, palavras como “MOGA” e “DA” eram enviadas a códigos como +1280 e 4541545.
Para a Zimperium, a “abordagem sistemática indica uma operação bem organizada, com métricas claras de rastreamento para otimização de campanhas.” Isso é possível porque, neste modelo, os atacantes podem identificar quais plataformas de mídia social e perfis falsos de aplicativos geram as maiores taxas de conversão.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.