Para evitar aplicativos maliciosos no Android, não instale nada que venha de fora da Play Store ou que tenha poucos downloads. Essa recomendação de segurança não funcionou no caso mais recente: um WhatsApp falso chegou a ser baixado mais de 1 milhão de vezes na loja oficial do Google.

WhatsApp

O truque era bem feito: o aplicativo no Google Play se chamava “Update WhatsApp Messenger”, tinha a mesma identidade visual do original e era criado pelo desenvolvedor “WhatsApp Inc.”, exatamente o mesmo nome que o Facebook utiliza para distribuir a versão legítima.

Mas como o Google permitiu que outra pessoa adotasse o mesmo nome de desenvolvedor que o original? Na verdade, o atacante incluiu um caractere Unicode que ficava invisível no Google Play; o nome no link era “WhatsApp+Inc%C2%A0.”, e o sistema do Google aparentemente entendeu que isso era diferente de “WhatsApp Inc.”, como mostra o The Hacker News.

O aplicativo malicioso exigia poucas permissões (ele só precisava acessar a internet, afinal de contas). Quando aberto, o malware mostrava uma página da web cheia de propagandas e tentava baixar um segundo APK, chamado “whatsapp.apk”, de acordo com a análise de um usuário do Reddit.

Ele já foi removido pelo Google, mas o falso WhatsApp enganou mais de 1 milhão de pessoas que confiaram na Play Store e nas mais de 6 mil avaliações da loja do Google, que apontavam uma média de 4,2 estrelas — bem próximo das 4,4 estrelas do aplicativo verdadeiro.

Quando nem o filtro do Google Play funciona, nem o Play Protect funciona e nem uma análise de popularidade e avaliações por parte do usuário funciona, a recomendação para ficar seguro no Android é: ¯\_(ツ)_/¯

Leia | WhatsApp GB: o que é, como identificar e os riscos da versão modificada

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.