Auxílio emergencial: apps falsos para Android tentam roubar dados de usuários

Por Felipe Demartini | 08 de Abril de 2020 às 14h33
Matheus Argentoni/Canaltech

O governo federal liberou nesta terça-feira (7) o aplicativo para cadastro dos beneficiários do auxílio emergencial, uma ajuda em dinheiro para profissionais informais e demais afetados pelas medidas de contenção do coronavírus. Entretanto, antes mesmo de a solução oficial entrar no ar, aplicativos não-oficiais, muitos deles voltados ao roubo de informações dos beneficiários, já apareciam na Google Play Store.

Basta uma pesquisa com os temos “auxílio emergencial” para que a solução oficial do governo apareça, mas junto com ela, outros softwares criados por terceiros e voltados para diferentes benefícios do governo federal. Nas primeiras horas após a liberação do aplicativo, entretanto, não era bem assim, e o app usado para registro e acompanhamento da solicitação do benefício nem mesmo aparecia entre os resultados de busca. O mesmo, por exemplo, não acontece no iOS, onde uma pesquisa por "auxílio emergencial" exibe apenas a aplicação oficial do banco.

Um alerta desse tipo já havia sido feito pelo presidente da Caixa, Pedro Guimarães, durante coletiva que anunciou o lançamento do aplicativo. Ele chamou a atenção para a possibilidade de golpes e frisou tanto o título da solução legítima, chamada Caixa | Auxílio Emergencial, quando o site oficial, auxilio.caixa.gov.br. “Só existe um app e endereço válido. Qualquer outro é falso”, informou o executivo, de forma direta.

Horas após a publicação do app oficial do auxílio emergencial, ele ainda não aparecia nem mesmo nos resultados de buscas, lotado de softwares criados por terceiros e potencialmente perigosos (Imagem: Reprodução/Felipe Demartini)

Em contato com o Canaltech, o Google afirmou que possui políticas rigorosas para garantir que a Play Store seja segura e protegida para desenvolvedores e usuários. Com base nisso, disse estar revisando aplicativos denunciados, que são removidos em caso de comprovação da violação.

Além disso, a empresa indicou que os softwares oficiais do auxílio emergencial do governo e do CadÚnico, também usado para recebimento, já aparecem nas primeiras posições quando uma pesquisa sobre o tema é realizada. Entretanto, softwares de terceiros e potencialmente suspeitos continuam aparecendo ao lado das plataformas governamentais.

A prática de criar aplicativos falsos, que se passem pelos oficiais para cadastro ou verificação de benefícios, já é antiga e voltada, principalmente, para beneficiários de auxílios como o Bolsa Família ou INSS. Existem, também, soluções que prometem fazer uma verificação geral sobre os direitos do usuário em receber algum tipo de ajuda governamental, a maioria deles utilizando fontes e artes semelhantes às oficiais, como forma de trazer aparência de legitimidade à solução.

O dfndr lab, laboratório de segurança digital da PSafe, identificou pelo menos dois dos aplicativos que tentam se passar pelo oficial da Caixa como adwares. Uma vez instalados, eles passam a exibir propagandas no celular da vítima e também substituir anúncios nos sites acessados por aqueles que geram retorno aos criminosos, mas sem que dados pessoais sejam roubados.

“Também é comum que aplicativos falsos solicitem e roubem informações de cartão de crédito, registrem indevidamente o número do celular em serviços pagos de SMS e até invadam o smartphone da vítima, deixando-a vulnerável ao vazamento de fotos e conversas”, explica Emilio Simoni, diretor do dfndr lab.

Prestar atenção no desenvolvedor do aplicativo ajuda a não baixar apps falsos do auxílio emergencial ou qualquer outra solução oficial (Imagem: Reprodução/Felipe Demartini)

A recomendação, de maneira geral, é para que os usuários fiquem atentos às soluções instaladas e os responsáveis por elas. O app do Auxílio Emergencial, por exemplo, é mantido pela própria Caixa, que aparece identificada na página de aplicação. “É preciso verificar o desenvolvedor ou pegar o link para download diretamente no site oficial. Desta forma, você evita o risco”, completa o especialista.

Da mesma maneira, o ideal é não realizar cadastros ou entregar dados sem a devida validação, que garanta a certeza de se estar lidando com uma plataforma oficial. O mesmo também vale, inclusive, para mensagens que cheguem por apps como o WhatsApp, ou ligações telefônicas de supostos atendentes dos serviços governamentais. Na dúvida, use canais oficiais para se informar e confirmar a veracidade das solicitações.

Para quem já foi vítima, Simoni indica a instalação de um antivírus para realizar uma varredura no dispositivo comprometido — ele deve, inclusive, ser mantido no aparelho, já que servirá como proteção contra ameaças futuras. Caso os dados entregues aos criminosos sejam pessoais, vale prestar atenção em tentativas de golpe por e-mail ou mensagem. Por fim, se informações financeiras forem obtidas pelos bandidos, o ideal é entrar em contato com o banco ou operadora do cartão de crédito para avisar sobre o incidente.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.