IAS Threat Lab expõe uma rede de fraude massiva em apps Android

O IAS Threat Lab publicou um novo relatório que expõe uma extensa e sofisticada rede de fraude publicitária, denominada “Vapor Threat”, que utiliza aplicações falsas para Android para exibir anúncios de vídeo em ecrã completo de forma massiva.

Esta operação fraudulenta, sob o nome de código Vapor, deve a sua designação à capacidade de "evaporar" qualquer funcionalidade real das aplicações, deixando apenas anúncios intrusivos.

De acordo com o relatório, o laboratório de ameaças da IAS identificou mais de 180 IDs envolvidos na rede Vapor Threat, que, em conjunto, acumularam mais de 56 milhões de downloads e geraram mais de 200 milhões de pedidos de licitação publicitária diários desde 2024, sem oferecer qualquer funcionalidade real aos utilizadores.

O IAS Threat Lab partilhou as conclusões da investigação com a Google, que, em resposta, removeu da Google Play todas as aplicações identificadas no relatório. No entanto, os responsáveis pela operação criaram várias contas de programador, cada uma alojando um pequeno número de aplicações para distribuir a fraude e evitar a deteção. Esta configuração descentralizada assegura que a remoção de uma única conta tenha um impacto mínimo na operação global.

Que aplicações foram afetadas?

As aplicações utilizadas pelos defraudadores foram estrategicamente concebidas para imitar outras apps legítimas e de confiança, como leitores de códigos QR, gestores de palavras-passe, lanternas, aplicações de saúde e fitness (por exemplo, monitores de ritmo cardíaco, rastreadores de consumo de água e de peso) e aplicações de estilo de vida (como blocos de notas). Este design enganoso permite que as aplicações se infiltrem nos dispositivos dos utilizadores sem levantar suspeitas, possibilitando atividades fraudulentas em larga escala.

Inicialmente, estas aplicações foram lançadas na Google Play como apps funcionais. No entanto, atualizações posteriores removeram as funcionalidades legítimas, substituindo-as por táticas que maximizavam os lucros publicitários através da exibição de anúncios intersticiais em ecrã completo.

Estes anúncios intrusivos eliminavam completamente ícones e elementos visíveis da interface do utilizador, comprometendo a experiência do utilizador. Acreditando que estavam a instalar aplicações úteis, os utilizadores descarregavam-nas, mas rapidamente percebiam que as apps não tinham qualquer ícone visível ou botão de "abrir", impedindo a interação.

Assim que a aplicação era instalada, começava imediatamente a bombardear o utilizador com anúncios intersticiais em ecrã completo, bloqueando a utilização do dispositivo e tornando-o praticamente inoperável.

Como se chegou a este ponto?

O IAS Threat Lab rastreou a fase inicial da operação de fraude Vapor até ao início de 2024. Durante esse período, foram identificadas aplicações simples, como lanternas e papéis de parede, que restringiam o acesso externo ao ponto de entrada da aplicação principal, removendo a sua capacidade de funcionar como lançador de apps.

A operação fraudulenta terá começado no início de 2024, como indicado no relatório. No entanto, o esquema foi rapidamente desmontado quando as aplicações começaram a ser removidas da plataforma. Após um aumento significativo da atividade no terceiro trimestre do ano passado, verificou-se um novo declínio após novas remoções. No entanto, entre novembro de 2024 e janeiro de 2025, à medida que grandes investimentos publicitários foram canalizados para a época festiva, o sistema voltou a intensificar-se, levando o número total de downloads a ultrapassar os 21 milhões, demonstrando a resiliência e eficácia da operação.

Após a investigação da IAS e a partilha de informações com a Google no início de fevereiro, todas as aplicações fraudulentas associadas à operação Vapor foram rapidamente removidas da Play Store, resultando numa queda imediata e acentuada no número total de downloads.