Pesquisadores da ThreatFabric revelaram que droppers — aplicativos maliciosos que funcionam como um “cavalo de Troia” — estão em alta nos ataques contra dispositivos Android.
Segundo os especialistas, o crescimento desse tipo de ameaça tem relação direta com as novas medidas de segurança do Google Play Protect, em especial o Programa Piloto, que vem sendo testado em países de alto risco, como Brasil, Índia, Tailândia e Singapura. A iniciativa foi criada para bloquear apps perigosos, mas os criminosos já encontraram uma forma de contornar essas defesas usando os droppers.
Esses apps parecem comuns e inofensivos, mas, depois de instalados, abrem a porta do celular para que outros malwares mais perigosos sejam baixados e ativados sem que o usuário perceba.
Como funciona o Programa Piloto do Google
Diferente da varredura tradicional do Play Protect, o Programa Piloto faz uma checagem antes mesmo de o aplicativo ser instalado, principalmente em casos de sideload (quando o app vem de fora da Google Play).
Ele analisa permissões consideradas de alto risco — como acesso a SMS, notificações e serviços de acessibilidade — e bloqueia a instalação se encontrar algo suspeito. Essa abordagem ajuda a barrar apps perigosos, mas também cria um efeito colateral: como os criminosos sabem exatamente o que será verificado, conseguem adaptar seus golpes para passar despercebidos.
O truque dos droppers
Na prática, os droppers são aplicativos aparentemente legítimos, como jogos simples, calculadoras ou editores de fotos. Durante a instalação, não pedem nenhuma permissão estranha, o que os faz parecer confiáveis.
O problema começa depois. Já dentro do celular, eles se conectam a servidores externos controlados pelos criminosos e baixam o malware real. É nesse momento que surgem pedidos de acesso mais sensíveis, como leitura de SMS, uso de acessibilidade ou até controle total da tela. Se o usuário permitir, o dispositivo fica vulnerável a:
- Roubo de senhas e credenciais bancárias
- Interceptação de SMS, incluindo códigos de autenticação
- Espionagem em apps de mensagem
- Rastreamento da localização em tempo real
- Mineração oculta de criptomoedas, que drena bateria e processamento
Exemplos de droppers já identificados
- RewardDropMiner: começou combinando funções de spyware e mineração de criptomoedas, mas evoluiu para se especializar apenas na entrega de malwares.
- SecuriDropper: conhecido por explorar falhas no Android 13, conseguindo instalar malwares mesmo com bloqueios ativos.
- Zombinder: mais sofisticado, consegue “injetar” códigos maliciosos em apps legítimos, distribuindo versões adulteradas que parecem oficiais.
Esses casos mostram que a ameaça vai muito além dos trojans bancários: hoje os droppers também entregam spywares simples e ladrões de SMS, o que amplia o risco para qualquer usuário de Android.
Como se proteger
Apesar da sofisticação, os droppers ainda dependem de uma coisa: a ação do usuário. Algumas práticas simples ajudam a reduzir os riscos:
- Baixe apps apenas da Google Play e de desenvolvedores confiáveis
- Desconfie de permissões desnecessárias (uma calculadora não precisa ler suas mensagens)
- Evite instalar APKs de fora da loja oficial, principalmente enviados por links em mensagens
- Mantenha o Android sempre atualizado
- Fique atento a sinais estranhos no celular, como travamentos, queda brusca de bateria ou uso excessivo de dados
