Pesquisadores da Zimperium zLabs identificaram uma opera\u00e7\u00e3o global de fraude em faturamento m\u00f3vel que afetou dispositivos Android em quatro pa\u00edses. Cerca de 250 aplicativos maliciosos foram utilizados para assinar servi\u00e7os de SMS pagos sem qualquer consentimento das v\u00edtimas. A campanha ficou ativa entre mar\u00e7o de 2025 e a segunda semana de janeiro de 2026.<\/p>\n
Os golpistas enganaram as v\u00edtimas ao imitar a apar\u00eancia de plataformas populares, como Facebook Messenger, Threads, TikTok, Minecraft e Grand Theft Auto, utilizando esses nomes como iscas. As regi\u00f5es afetadas inclu\u00edram Mal\u00e1sia, Tail\u00e2ndia, Rom\u00eania e Cro\u00e1cia, impactando operadoras de telefonia espec\u00edficas de cada pa\u00eds.<\/p>\n
Uma vez instalado, o aplicativo malicioso verificava o chip do celular para identificar a operadora da v\u00edtima. Se a operadora n\u00e3o era alvo, o app exibia uma p\u00e1gina web inofensiva para n\u00e3o levantar suspeitas, ocultando a verdadeira natureza do golpe.<\/p>\n
Tr\u00eas variantes com estrat\u00e9gias distintas<\/h2>\n
A Zimperium identificou tr\u00eas vers\u00f5es do malware, cada uma usando um m\u00e9todo diferente para completar as assinaturas fraudulentas. A primeira variante era a mais automatizada; para clientes da DiGi, o aplicativo carregava p\u00e1ginas de cobran\u00e7a da operadora em segundo plano, utilizando c\u00f3digo JavaScript para clicar automaticamente nos bot\u00f5es de confirma\u00e7\u00e3o.<\/p>\n
Para interceptar os c\u00f3digos de verifica\u00e7\u00e3o enviados por SMS, o malware explorou uma API leg\u00edtima do Google, originalmente projetada para facilitar autentica\u00e7\u00f5es em aplicativos confi\u00e1veis. Em casos de clientes da Maxis e da U Mobile, o app enviava mensagens SMS para n\u00fameros premium contendo palavras-chave como “ON HITZ” e “ON A3”.<\/p>\n
A segunda variante foi direcionada a usu\u00e1rios na Tail\u00e2ndia. Ela consultava um servidor administrado pelos criminosos para obter instru\u00e7\u00f5es atualizadas e enviava mensagens SMS para n\u00fameros premium em intervalos de 60 a 90 segundos, imitando o comportamento humano para dificultar a detec\u00e7\u00e3o pelos sistemas antifraude. Para clientes da TrueMove H, o app ainda capturava cookies de autentica\u00e7\u00e3o do navegador, permitindo acesso cont\u00ednuo ao portal de cobran\u00e7a da operadora.<\/p>\n
A terceira variante combinava as t\u00e1ticas anteriores com um sistema de notifica\u00e7\u00e3o em tempo real via Telegram, reportando cada assinatura conclu\u00edda e coletando dados como o identificador do dispositivo, o nome do app falso e a operadora da v\u00edtima.<\/p>\n
Infraestrutura para escalar a opera\u00e7\u00e3o<\/h2>\n
Os servidores de comando e controle da opera\u00e7\u00e3o usavam dom\u00ednios como \u2018apizep.mwmze[.]com\u2019 e \u2018modobomz[.]com\u2019 para automatizar assinaturas e coletar dados das v\u00edtimas.<\/p>\n
Para monitorar a efic\u00e1cia da campanha, os criminosos integraram um sistema de rastreamento baseado em cabe\u00e7alhos HTTP. Isso permitiu que eles soubessem exatamente quais combina\u00e7\u00f5es de app falso e plataforma geravam mais instala\u00e7\u00f5es.<\/p>\n
A pesquisa analisou pelo menos 12 n\u00fameros premium distintos envolvidos na fraude. Na Cro\u00e1cia, o c\u00f3digo “GYGO” era enviado para o n\u00famero 866866. Na Rom\u00eania, palavras como “MOGA” e “DA” eram enviadas para n\u00fameros como +1280 e 4541545.<\/p>\n
A Zimperium afirmou que a abordagem sistem\u00e1tica evidencia uma opera\u00e7\u00e3o bem organizada, com m\u00e9tricas claras para otimiza\u00e7\u00e3o. Isso possibilita aos atacantes identificar quais plataformas e perfis geram as melhores taxas de convers\u00e3o.<\/p>\n
Acompanhe o TecMania nas redes sociais e inscreva-se em nossa newsletter e canal do YouTube.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Zimperium revela campanha com 250 aplicativos fraudulentos que inscrevem v\u00edtimas em servi\u00e7os pagos de forma silenciosa na Mal\u00e1sia, Tail\u00e2ndia, Rom\u00eania […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-10206","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/10206","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=10206"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/10206\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=10206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=10206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=10206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}