Era uma vez uma fazenda de cliques: mesas e prateleiras cheias de smartphones em algum armazém asiático, trabalhadores pagos para clicar em anúncios o dia todo. Imagens nítidas, facilmente identificáveis e combatíveis. Então chegou setembro de 2025 e Anúncios de lixoE tudo mudou.
Chega de armazéns. Chega de trabalhadores. Tudo o que é preciso são 224 aplicativos aparentemente inofensivos no Google Play e 38 milhões de usuários que os baixam, pensando que estão obtendo um editor de fotos com inteligência artificial. Seu celular se torna uma fábrica de cliques. Você se torna o trabalhador involuntário. E os golpes online estão atingindo níveis sem precedentes: bilhões de solicitações de publicidade enganosa por dia. Bem-vindo à era das fazendas de cliques fantasmas, onde os golpistas deixaram de comprar celulares e começaram a alugar o seu.
SlopAds, o crime perfeito
Os pesquisadores de Segurança humana Eles chamaram a operação de Anúncios de lixo, um nome que evoca tanto a natureza de mau gosto dos aplicativos (produzidos em massa, um pouco como a sujeira de IA que entope a internet) quanto os serviços falsos com tema de IA hospedados em servidores de criminosos. A investigação revelou uma arquitetura criminosa muito sofisticada. que tem funcionado sem interrupções no Google Play durante meses.
Os aplicativos realmente funcionavam. Editores de fotos, geradores de imagens com IA, assistentes de conversação: entregavam tudo o que prometiam. Mas havia um porém. Somente os usuários que baixavam o aplicativo após clicarem em um anúncio veiculado pelos próprios criminosos recebiam o "presente extra". Um módulo malicioso chamado FatModule, oculto em quatro imagens PNG por meio de esteganografia1 Digital. Não foram encontrados problemas na Play Store. O aplicativo estava limpo e a experiência do usuário era normal.
O FatModule criava janelas invisíveis (WebViews ocultas) que carregavam sites controlados pelos golpistas: portais de notícias falsas e jogos em HTML5 projetados para gerar impressões contínuas de anúncios. O telefone simulava rolagem, cliques e visualização — tudo enquanto o usuário dormia, trabalhava ou assistia a séries de TV.
Os números são de deixar qualquer um tonto.
No auge da operação, a SlopAds estava gerando 2,3 bilhões de solicitações de anúncios falsos todos os diasOs 38 milhões de dispositivos infectados estavam distribuídos por 228 países: praticamente em todo o mundo. 30% do tráfego veio dos Estados Unidos, 10% da Índia, 7% do Brasil. E a Itália? Também estava presente, como sempre quando se trata de... fraudes on-line.
Cada impressão falsa gerava micropagamentos. Milhões de micropagamentos. Os criminosos eram donos dos sites onde os anúncios eram exibidos, então cada clique falso se transformava em dinheiro real. Na Itália, os golpes online já roubaram mais de 600 milhões de euros em 2024.Um aumento de 30% em relação ao ano anterior. O SlopAds representa um salto qualitativo: não se trata mais de phishing ou marketplaces falsos, mas sim de dispositivos transformados em ferramentas de fraude sem que o usuário sequer perceba.
Inteligência artificial como isca
Criminosos têm aproveitado a onda de entusiasmo em torno da inteligência artificial. Aplicativos com nomes chamativos: Auxiliar de difusão estável, AIGuide, Assistente ChatGLMTodos eles prometiam recursos de IA gratuitos ou de baixo custo. E as pessoas morderam a isca, porque, em 2025, quem não quer um editor de fotos que gere imagens com um simples comando?
Mas a IA não foi usada apenas como isca. Um estudo publicado em Relatórios Científicos em julho de 2025 mostrou que 70% das pessoas não conseguem distinguir uma voz clonada da original. A inteligência artificial está impulsionando golpes online em todas as frentes: desde chamadas de voz deepfake que fingem ser a voz do seu filho, até bots que imitam o comportamento humano para gerar cliques falsos. Os golpistas aprenderam a usar automação e aprendizado de máquina para burlar os filtros das plataformas.
O Google intervém, mas já é tarde demais.
Após o relatório de Segurança humanaO Google removeu todos os 224 aplicativos identificados na Operação SlopAds e ativou o Google Play Protect para alertar aqueles que ainda os tinham instalados. Os usuários afetados receberam notificações incentivando-os a desinstalá-los imediatamente. Fim da história? Não.
Os pesquisadores são claros: A sofisticação do SlopAds sugere que os criminosos adaptarão o esquema para se vingar.A infraestrutura de C2 (comando e controle) identificada incluía mais de 300 domínios promocionais. Essa rede era extensa demais para ter sido construída exclusivamente para essa operação. Os criminosos já estavam se preparando para expandi-la.
O problema fundamental permanece: O Google detecta apenas 10% das fraudes publicitárias. O resto é fácil. E quando os aplicativos realmente funcionam como prometido, distinguir os legítimos dos maliciosos torna-se praticamente impossível para os sistemas de verificação automática da Play Store.
SlopAds, o que você pode fazer?
Defesas clássicas ajudam, mas não são suficientes. Verificar permissões do aplicativo Esse é um bom começo: se um editor de fotos pede acesso à sua agenda de contatos ou à sua localização, algo está errado. Baixe apenas de fontes oficiaisÓtimo, mas o SlopAds estava lá, na Play Store oficial. Você usa antivírus? Útil, mas o malware esteganográfico oculto em imagens PNG é difícil de detectar.
A verdade é que os golpes online evoluíram. Não basta mais ser cauteloso. Precisamos tratar a fraude publicitária como uma questão de segurança cibernética corporativa, com colaboração entre as equipes de segurança e marketing. Precisamos de detecção em tempo real, não meses depois.
E você precisa entender que seu celular, hoje, pode se tornar uma ferramenta nas mãos de outra pessoa sem que você saiba.
Nota:
- A esteganografia digital é uma técnica que permite ocultar informações secretas em arquivos como imagens, áudio ou vídeo, de forma que nada de incomum seja notado. Por exemplo, é possível ocultar uma mensagem alterando pequenas partes de uma imagem, imperceptíveis ao olho humano. Dessa forma, quem visualizar o arquivo não perceberá que ele contém uma mensagem oculta, que só poderá ser extraída por alguém que conheça o método para encontrá-la. ↩︎
