Imagine receber um convite no Facebook para uma viagem divertida, pensada justamente para pessoas com mais de 60 anos, cheio de fotos cativantes e comentários animados. Agora descubra que, por trás desse passeio dos sonhos, existe um malware capaz de assumir o controle total do seu celular e esvaziar a sua conta bancária. Foi exatamente isso que pesquisadores da ThreatFabric encontraram ao analisar o novo trojan Android batizado de Datzbro.
Longe de ser um golpe genérico, o Datzbro é direcionado: ataca quem procura interação social online, principalmente idosos em países como Austrália, Singapura, Malásia, Canadá, África do Sul e Reino Unido. Usando conteúdo gerado por inteligência artificial, os criminosos montam grupos no Facebook que parecem inofensivos, mas escondem links para um aplicativo fraudulento em formato APK. A partir do instante em que a vítima instala esse “aplicativo da comunidade”, o jogo vira — e o telefone passa a obedecer comandos dos invasores.
Como o golpe se espalha no Facebook e WhatsApp
O esquema começa com grupos públicos ou privados que promovem “viagens para a melhor idade” ou “atividades presenciais para seniores”. Tudo parece legítimo: fotos bem produzidas (criadas por IA), depoimentos de supostos participantes e datas de excursões. Quando alguém demonstra interesse, passa a conversar com perfis falsos via Facebook Messenger ou WhatsApp. É nesse momento que chega o link para download, normalmente algo como download.seniorgroupapps[.]com.
Ao clicar, a vítima é redirecionada para um site igualmente convincente, que promete acesso ao calendário de eventos. Ali, um botão “Baixar app” oferece duas opções: Android e iOS. No Android, o clique instala diretamente o Datzbro ou um dropper criado com o serviço Zombinder — técnica que “cola” código malicioso em outro APK e, assim, contorna as restrições de segurança do Android 13 em diante. Para iOS, os golpistas distribuem arquivos TestFlight, sinalizando intenção de ampliar o ataque.
O que o Datzbro consegue fazer no seu celular
Uma vez instalado, o Datzbro ativa o Serviço de Acessibilidade do Android, recurso legítimo pensado para ajudar pessoas com deficiência, mas frequentemente explorado por trojans bancários. Com isso, o malware ganha permissão para:
- Gravar áudio e tirar fotos sem autorização.
- Ler arquivos, imagens e listas de contatos.
- Realizar sobreposição de tela (overlay) para capturar credenciais digitadas.
- Controlar o aparelho remotamente, simulando toques e gestos.
- Keylogging — registrar tudo que é digitado, inclusive senhas de bancos, Alipay e WeChat.
Um recurso chamativo é o “modo de controle esquemático”: o Datzbro envia ao servidor a posição e o texto de cada elemento exibido na tela. O operador, do outro lado, recria essa interface e toma decisões como se estivesse com o telefone na mão. Para encobrir a ação, o trojan ainda coloca um painel preto semitransparente sobre o display, invisível para quem não sabe do truque.
Sinais de autoria e infraestrutura de comando
Durante a engenharia reversa, a ThreatFabric encontrou cadeias de texto em chinês no código-fonte e também no aplicativo de comando e controle (C2), que roda em desktop — algo pouco comum, já que a maioria dos malwares móveis usa painéis web. Uma versão compilada dessa ferramenta vazou em fóruns de compartilhamento de vírus, indicando que o Datzbro pode estar circulando entre diferentes grupos de cibercriminosos.
A descoberta coincide com outra campanha, batizada de PhantomCall (trojan AntiDot), analisada pela IBM X-Force. Embora sejam famílias distintas, ambas abusam do mesmo ponto fraco: o apelo social para convencer usuários a instalar apps fora da Google Play, ganhando acesso ao Serviço de Acessibilidade e, por consequência, às finanças da vítima.
Do convite inocente ao esvaziar da conta: por que os idosos viraram alvo principal?
O Datzbro mostra uma tendência preocupante: ataques superespecializados que combinam engenharia social, IA e falhas de usabilidade nas lojas oficiais de apps. Idosos com rotina de leitura no Facebook e pouca familiaridade com APKs são presas fáceis: confiam em conteúdo aparentemente “comunitário”, não estranham conversas via Messenger e, por hábito, clicam em links que prometem interação social.
Para quem gere blogs, portais ou campanhas de marketing, o caso ilustra um ponto crítico: comunidades de nicho — da terceira idade a gamers — estão virando plataformas de distribuição de malware segmentado. Isso pressiona desenvolvedores a reforçar barreiras contra sideload, educadores de tecnologia a produzir guias simples sobre permissões de acessibilidade e profissionais de SEO a monitorar fraudes que imitam seus conteúdos em busca de legitimidade.
No médio prazo, podemos esperar três movimentos: endurecimento das políticas do Google para instalação de APKs fora da Play Store, novas regulamentações voltadas à proteção de grupos vulneráveis online e a crescente adoção de técnicas de AI tanto para criar golpes mais críveis quanto para detectá-los. No fim, a lição é clara: não basta blindar o código; é preciso compreender o contexto social em que a tecnologia é usada — porque é justamente ali que o próximo Datzbro está à espreita.
