Um spyware para Android que se disfarça de aplicativos populares como WhatsApp, YouTube, Instagram e TikTok já infectou ao menos 45 mil vítimas em 143 países, monitorando os dispositivos em tempo real e roubando dados sensíveis. A ameaça, identificada como Arsink, foi analisada por pesquisadores da Zimperium zLabs.
De acordo com o relatório divulgado na última sexta-feira (30), o malware concede acesso praticamente total aos invasores e é distribuído principalmente por meio de canais no Telegram e no Discord. Amostras do spyware também foram encontradas hospedadas no site de compartilhamento de arquivos MediaFire.
Recursos “premium” são usados como isca
Segundo a empresa de segurança cibernética, o Arsink é divulgado como supostas versões “premium” ou “Pro” de aplicativos amplamente utilizados. A promessa é liberar funcionalidades exclusivas que não estariam disponíveis nas versões oficiais.
Após a instalação, o usuário é induzido a aceitar uma extensa lista de permissões para ter acesso às supostas vantagens do aplicativo. Na prática, essas funções não existem, mas as autorizações concedidas permitem que o spyware atue de forma silenciosa e contínua em segundo plano.
Entre as capacidades do Arsink estão a gravação de conversas, leitura de mensagens enviadas e recebidas, acesso a fotos e vídeos, visualização do histórico de chamadas e até o acesso à conta Google vinculada ao aparelho. O malware também pode forçar o dispositivo a realizar ligações, rastrear a localização precisa da vítima e, em casos extremos, apagar remotamente todos os dados armazenados no celular.
Controle remoto e roubo de dados em larga escala
O relatório aponta que os operadores da campanha conseguem enviar comandos em tempo real para os dispositivos infectados. Algumas variantes do spyware ainda permitem a infecção de celulares mesmo quando estão offline, ampliando o alcance da ameaça.
As informações coletadas são enviadas para ao menos 317 bancos de dados diferentes, incluindo pastas ocultas no Google Drive e no Firebase. Esses dados podem ser utilizados para diversas finalidades criminosas, como campanhas de phishing, fraudes financeiras e outros golpes online.
Como se proteger do spyware Arsink
Apesar de o Google ter ajudado a desativar contas e bancos de dados usados pelos criminosos, os pesquisadores alertam que a ameaça continua ativa e pode ressurgir com novas infraestruturas a qualquer momento.
Para reduzir os riscos, a recomendação é baixar aplicativos exclusivamente de fontes oficiais, como a Google Play Store, e analisar com atenção as permissões solicitadas. Ofertas de versões “premium” gratuitas divulgadas em redes sociais, fóruns ou aplicativos de mensagens devem ser evitadas.
O levantamento da Zimperium indica que o Egito concentra o maior número de vítimas, com cerca de 13 mil aparelhos infectados. Em seguida aparecem Iraque e Iêmen, com aproximadamente 3 mil casos cada, além de Paquistão e Índia, com 2,5 mil infecções, e Turquia, com cerca de 2 mil dispositivos comprometidos.
