Malware se disfarça de WhatsApp, Discord e YouTube para espionar Android

O Arsink é um trojan de Acesso Remoto (RAT) para Android que invade o celular e permite que criminosos controlem o aparelho à distância. Depois de instalado, ele consegue copiar fotos, vídeos, mensagens e outros arquivos do telefone e enviá-los para contas usadas pelos golpistas, sem que o dono do aparelho perceba. Para fazer isso, o spyware se aproveita de serviços conhecidos e amplamente utilizados, como Google Drive e Telegram, para enviar as informações roubadas e receber comandos.

Ao usar indevidamente plataformas populares para se disseminar entre os usuários, a ameaça consegue se esconder melhor, dificultar a identificação do golpe e manter a atividade por mais tempo nos celulares infectados.

O malware se espalha principalmente por links compartilhados em serviços populares como Telegram, Discord e sites de hospedagem de arquivos como MediaFire. Os criminosos divulgam esses links em grupos, canais e fóruns, levando o usuário a baixar aplicativos fora da loja oficial do Android. Esse tipo de distribuição facilita a infecção, já que o arquivo é instalado manualmente e não passa pelos filtros de segurança da Google Play Store.

Para convencer as vítimas, os golpistas se passam por aplicativos e plataformas conhecidas, usando nomes e imagens de marcas populares como Google, YouTube, WhatsApp, Instagram, Facebook e TikTok. Os arquivos costumam ser apresentados como versões “modificadas”, “pro” ou com supostos recursos pagos liberados gratuitamente. Ao acreditar que está instalando um app legítimo ou melhorado, o usuário concede permissões excessivas, o que permite a instalação do spyware e o roubo de dados.

Depois de instalado, o Arsink passa a agir de forma silenciosa no celular e começa a coletar informações pessoais do usuário de maneira contínua. O spyware consegue capturar a tela do aparelho, identificar o modelo do dispositivo, a versão do sistema, o nível da bateria e a localização aproximada, além de registrar o endereço de internet usado pelo celular. Também pode identificar contas do Google vinculadas ao aparelho, ampliando o volume de dados enviados aos criminosos.

O programa espião também acessa dados de comunicação, copiando mensagens SMS assim que são recebidas, registrando chamadas feitas e recebidas, com números e horários, e coletando a lista completa de contatos armazenados no telefone. Em paralelo, o malware pode gravar áudio pelo microfone, copiar fotos e outros arquivos pessoais e enviá-los para serviços online usados pelos criminosos, como Firebase e Google Drive, mantendo o roubo de informações ativo por longos períodos.

Além da espionagem, o Arsink permite controle remoto do aparelho. Os operadores conseguem acionar funções básicas, como lanterna, vibração e som, exibir mensagens na tela, alterar o papel de parede e até iniciar chamadas telefônicas. Também é possível acessar pastas, criar ou apagar arquivos e, em casos mais graves, apagar grandes volumes de dados do armazenamento do celular, causando perda total de informações sem aviso prévio.

Para evitar que o usuário perceba a infecção, o spyware oculta seu ícone e mantém um serviço ativo em segundo plano, dificultando o encerramento do processo. Mesmo parecendo um aplicativo inofensivo, ele não oferece nenhuma função real ao usuário e atua apenas para roubar dados, manter contato constante com os criminosos e executar comandos remotos, o que torna a ameaça especialmente perigosa.

A operação ligada ao Arsink tem alcance global e não se concentra em um único país ou região. A análise de dados coletados pelos pesquisadores indica a existência de cerca de 45 mil dispositivos infectados, identificados a partir de endereços de internet únicos, distribuídos por aproximadamente 143 países. As infecções aparecem em regiões da Ásia, Oriente Médio, África, Europa e Américas, o que demonstra uma campanha ampla e contínua.

Os maiores volumes de aparelhos comprometidos foram registrados no Egito, Indonésia, Iraque, Iêmen e Turquia, além de números expressivos no Paquistão, Índia e Bangladesh. Países do Norte da África, como Argélia e Marrocos, também aparecem com quantidade relevante de infecções. Segundo os pesquisadores, essas regiões costumam ter maior circulação de aplicativos fora da loja oficial e uso intenso de compartilhamento por Telegram, o que facilita a disseminação do spyware.

Essa distribuição geográfica reforça que o Arsink não é voltado a alvos específicos, mas funciona como uma ameaça de larga escala, explorando usuários comuns em diferentes partes do mundo. A estratégia permite que a campanha se espalhe rapidamente e mantenha presença ativa em diversos mercados ao mesmo tempo.

A Zimperium informou que trabalhou em conjunto com o Google para interromper o uso indevido de serviços em nuvem pelo Arsink, o que resultou na derrubada de servidores maliciosos no Firebase e de estruturas do Google Apps Script usadas para comando e roubo de dados. O Google também desativou contas ligadas aos criminosos, afirmando que o spyware não está disponível na Play Store e reforçando que o Google Play Protect protege automaticamente os usuários do Android, inclusive contra apps de fontes externas. A big tech diz que isso reduziu de forma significativa a operação da campanha criminosa.

Apesar disso, pesquisadores alertam que a ameaça não foi eliminada e pode voltar a qualquer momento com novas estruturas. Por isso, a principal forma de proteção é evitar a instalação de aplicativos fora da Google Play Store. Links recebidos por Telegram, Discord ou redes sociais oferecendo versões “premium”, “pro” ou modificadas de apps populares devem ser ignorados, pois são uma das principais portas de entrada desse tipo de spyware.

Também é fundamental prestar atenção às permissões solicitadas pelos aplicativos durante a instalação e o uso. Um app que pede acesso a SMS, contatos, microfone, chamadas ou arquivos sem necessidade clara deve ser tratado como suspeito.