Pesquisadores de cibersegurança identificaram o Android.MagicAd.1, um malware tipo trojan que usa aplicativos pré-instalados do celular para exibir anúncios mesmo quando o usuário fecha todos os apps. A descoberta é da Doctor Web, que mapeou mais de 50 apps maliciosos distribuídos em lojas oficiais como Samsung Galaxy Store e Xiaomi GetApps.
O Android.MagicAd.1 apareceu pela primeira vez em 2025. Desde então, os criminosos escondem o código malicioso dentro de jogos e utilitários aparentemente normais.
Para não levantar suspeitas, os criminosos trocavam os aplicativos infectados a cada poucas semanas. Isso porque manter o mesmo aplicativo por muito tempo aumenta o risco de ser detectado pelos sistemas de segurança das lojas. O problema é que, mesmo depois da troca, o trojan que já tinha sido instalado continuava ativo no celular da vítima.
Quando a pessoa abre o app infectado, o malware libera um componente escondido chamado Android.MagicAd.1.origin. Antes de agir, ele verifica se está sendo analisado por pesquisadores de segurança. Basicamente, ele procura sinais de que está rodando em um ambiente de testes, como máquinas virtuais. Se não encontrar nada suspeito, o ícone do app desaparece da tela inicial e o trojan passa a funcionar em segundo plano de forma permanente.
A burla das proteções do Android
Os sistemas operacionais Android mais recentes bloqueiam apps em segundo plano de abrirem janelas ou anúncios sozinhos sem permissão. O Android.MagicAd.1 contorna essa barreira usando aplicativos do próprio sistema, que já têm essas permissões liberadas.
A forma como isso acontece varia conforme a marca do celular. Em aparelhos Xiaomi e Amazon, o malware envia um comando chamado “pending intent” através de apps como Mi Browser, Miui SystemUI ou o launcher do Amazon Fire TV. Esse comando “acorda” o trojan e faz com que ele desenhe banners de anúncio transparentes por cima da tela.
Em celulares Vivo, a técnica usa o Android Binder, um sistema de comunicação interna do aparelho. Os criminosos enviam os comandos por apps como iManager, Phonebook ou Vivo Browser para disparar os anúncios.
Em outras marcas, o trojan usa um truque mais simples e genérico. Ele toca um arquivo de áudio silencioso, abre o player de mídia do sistema no volume zero e simula o clique de um botão físico do celular. Isso engana o Android, que dá prioridade imediata ao malware para exibir o anúncio na tela.
A Doctor Web informou que todos os aplicativos maliciosos identificados já foram retirados das lojas oficiais. Apesar disso, o caso mostra como é possível transformar partes confiáveis do próprio sistema operacional em ferramentas para bombardear o usuário com publicidade indesejada.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.