Quando você está usando seu smartphone e repentinamente recebe um SMS dizendo que 4 ou 5 reais foram descontados dos seus créditos ou da sua conta telefônica, é sinal de que há algo errado. Esse algo errado pode ser um trojan para Android, que envia SMS para números pagos. Conhecido como Trojan-SMS.AndroidOS.FakeInst.ef, ele ataca usuários de 66 países, incluindo o Brasil.

A praga foi inicialmente descoberta pela Kaspersky em fevereiro de 2013, mas o FakeInst só era capaz de enviar mensagens de texto para números da Rússia. Desde então, apareceram 14 variantes, sendo que as mais recentes conseguem causar prejuízos a usuários de países como Estados Unidos, Alemanha, França, Argentina e Brasil. De acordo com a Kaspersky, trata-se do primeiro trojan SMS ativo nos Estados Unidos que se tem conhecimento.

Para enganar o usuário, o trojan se passa por um aplicativo que dá acesso a vídeos pornográficos. O software pergunta se o usuário aceita enviar um SMS para comprar conteúdo pago, mas depois carrega um site de acesso gratuito. Usuários norte-americanos são surpreendidos com três mensagens enviadas para números pagos, que custam 2 dólares cada. O trojan é capaz de roubar, apagar ou responder novas mensagens recebidas pelo usuário.

A Kaspersky diz que o FakeInst pode enviar 3.085 mensagens diferentes, normalmente para números de concursos e promoções. No caso do Brasil, são aqueles números curtos de cinco dígitos, os tais números premium, que possuem tarifas diferenciadas — sabe aquelas propagandas para baixar joguinho no celular, que aparecem a todo instante nos comerciais de TV?

Trojans SMS no Brasil não são novidade: no final de 2012, o especialista em segurança Fabio Assolini, também da Kaspersky, divulgou detalhes de um aplicativo malicioso para Android que causava prejuízo aos brasileiros. Conhecido como Boxer, o trojan enviava silenciosamente um SMS para o número 44844, gerando um custo de R$ 4,99.

A recomendação, claro, é verificar as permissões de um aplicativo antes de instalá-lo no Android. Se você instalou um joguinho qualquer que necessita de autorização para enviar SMS, é bom desconfiar.

Leia | Como denunciar SMS no Android e iOS sem instalar nada

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.