Zimperium revela campanha com 250 aplicativos fraudulentos que inscrevem vítimas em serviços pagos de forma silenciosa na Malásia, Tailândia, Romênia e Croácia.
Pesquisadores da Zimperium zLabs identificaram uma operação global de fraude em faturamento móvel que afetou dispositivos Android em quatro países. Cerca de 250 aplicativos maliciosos foram utilizados para assinar serviços de SMS pagos sem qualquer consentimento das vítimas. A campanha ficou ativa entre março de 2025 e a segunda semana de janeiro de 2026.
Os golpistas enganaram as vítimas ao imitar a aparência de plataformas populares, como Facebook Messenger, Threads, TikTok, Minecraft e Grand Theft Auto, utilizando esses nomes como iscas. As regiões afetadas incluíram Malásia, Tailândia, Romênia e Croácia, impactando operadoras de telefonia específicas de cada país.
Uma vez instalado, o aplicativo malicioso verificava o chip do celular para identificar a operadora da vítima. Se a operadora não era alvo, o app exibia uma página web inofensiva para não levantar suspeitas, ocultando a verdadeira natureza do golpe.
Três variantes com estratégias distintas
A Zimperium identificou três versões do malware, cada uma usando um método diferente para completar as assinaturas fraudulentas. A primeira variante era a mais automatizada; para clientes da DiGi, o aplicativo carregava páginas de cobrança da operadora em segundo plano, utilizando código JavaScript para clicar automaticamente nos botões de confirmação.
Para interceptar os códigos de verificação enviados por SMS, o malware explorou uma API legítima do Google, originalmente projetada para facilitar autenticações em aplicativos confiáveis. Em casos de clientes da Maxis e da U Mobile, o app enviava mensagens SMS para números premium contendo palavras-chave como “ON HITZ” e “ON A3”.
A segunda variante foi direcionada a usuários na Tailândia. Ela consultava um servidor administrado pelos criminosos para obter instruções atualizadas e enviava mensagens SMS para números premium em intervalos de 60 a 90 segundos, imitando o comportamento humano para dificultar a detecção pelos sistemas antifraude. Para clientes da TrueMove H, o app ainda capturava cookies de autenticação do navegador, permitindo acesso contínuo ao portal de cobrança da operadora.
A terceira variante combinava as táticas anteriores com um sistema de notificação em tempo real via Telegram, reportando cada assinatura concluída e coletando dados como o identificador do dispositivo, o nome do app falso e a operadora da vítima.
Infraestrutura para escalar a operação
Os servidores de comando e controle da operação usavam domínios como ‘apizep.mwmze[.]com’ e ‘modobomz[.]com’ para automatizar assinaturas e coletar dados das vítimas.
Para monitorar a eficácia da campanha, os criminosos integraram um sistema de rastreamento baseado em cabeçalhos HTTP. Isso permitiu que eles soubessem exatamente quais combinações de app falso e plataforma geravam mais instalações.
A pesquisa analisou pelo menos 12 números premium distintos envolvidos na fraude. Na Croácia, o código “GYGO” era enviado para o número 866866. Na Romênia, palavras como “MOGA” e “DA” eram enviadas para números como +1280 e 4541545.
A Zimperium afirmou que a abordagem sistemática evidencia uma operação bem organizada, com métricas claras para otimização. Isso possibilita aos atacantes identificar quais plataformas e perfis geram as melhores taxas de conversão.
Acompanhe o TecMania nas redes sociais e inscreva-se em nossa newsletter e canal do YouTube.