Instalar um aplicativo fora da Play Store sempre foi um risco, mas o novo golpe descoberto pela empresa de cibersegurança Zimperium leva esse perigo a outro nível. Em apenas três meses, pesquisadores identificaram mais de 600 variantes do spyware ClayRat, disfarçado de apps populares como WhatsApp, TikTok e YouTube. A artimanha não mira apenas curiosos: ela ameaça usuários comuns, criadores de conteúdo que dependem do celular para gravar vídeos e profissionais de marketing que gerenciam campanhas diretamente do smartphone.
O diferencial dessa operação é a sofisticação do engano. Sites falsificados imitam com precisão a página oficial da Play Store, exibem avaliações inventadas e até utilizam o logotipo do Google para criar uma sensação de legitimidade. Basta um clique para que a vítima seja conduzida a um canal do Telegram e, dali, instale o APK malicioso que abre a porta para uma invasão em várias etapas.
Como o ClayRat engana as vítimas
• O alvo principal são smartphones Android em território russo, mas nada impede que o esquema seja replicado em outros países.
• Páginas de phishing utilizam domínios muito semelhantes aos originais — um “l” trocado por “1”, por exemplo — dificultando a identificação do golpe.
• Após o download, o usuário é orientado a liberar a instalação de “fontes desconhecidas”, removendo assim a barreira de segurança padrão do Android.
• O APK chega via Telegram, longe dos sistemas de verificação do Google, e finaliza a instalação sem levantar suspeitas.
O que o malware faz depois de instalado
• Atua como dropper, ou seja, um instalador de outros malwares capazes de executar funções especializadas.
• Intercepta mensagens SMS antes mesmo de outros aplicativos, permitindo alterar, reenviar ou apagar conteúdos — recurso usado para se propagar automaticamente para contatos da vítima.
• Conecta‐se a um servidor de comando e controle (C2) e aceita até 12 instruções remotas, incluindo o disparo da câmera frontal para tirar fotos sem autorização.
• Coleta informações sensíveis armazenadas no dispositivo, desde credenciais de login até dados de localização.
Medidas de contenção já em andamento
A Zimperium compartilhou a descoberta com o Google, que passou a bloquear variantes conhecidas do ClayRat na Play Store. No entanto, como o ataque se apoia em APKs distribuídos fora da loja oficial, a principal linha de defesa continua sendo a cautela do usuário: qualquer link que prometa “WhatsApp atualizado” ou “TikTok Pro” fora da Play Store tende a ser golpe.
Imagem: Internet
Segurança Mobile Sob Pressão: por que o ClayRat é um sinal de alerta para criadores e profissionais de marketing
Para quem produz conteúdo ou gerencia campanhas de afiliados, o smartphone é ferramenta de trabalho — gravar vídeos, aprovar anúncios, responder a clientes. Um spyware que intercepta SMS não rouba apenas dados pessoais: ele captura códigos de autenticação, invade contas de redes sociais e compromete ganhos de AdSense ou de programas de afiliados. Além disso, a possibilidade de acionar a câmera sem aviso fere a privacidade e pode gerar vazamento de material sensível, colocando em risco tanto a reputação quanto contratos comerciais.
A campanha do ClayRat mostra que o ecossistema Android ainda luta contra seu calcanhar de Aquiles: a facilidade de instalar aplicativos fora da loja oficial. Esse “lado aberto” atrai inovação, mas também criminosos que veem no marketing digital — cheio de canais de Telegram, grupos de descontos e versões “mod” de apps — um ambiente fértil para espalhar APKs infectados. Ficar atento a cada fonte de download é, hoje, parte integrante da estratégia de segurança de quem vive (ou lucra) online.
