Um aplicativo que simulava o aplicativo oficial da Receita Federal acumulou mais de 16 mil downloads em lojas não oficiais antes de ser retirado do ar. O levantamento é da INGENI, divisão de inteligência avançada da Redbelt Security, e integra um mapeamento mais amplo que identificou, ao longo desta temporada do Imposto de Renda 2026, ao menos 80 páginas falsas, 26 perfis fraudulentos em redes sociais e cerca de 10 aplicativos maliciosos com tema fiscal.
🎧Ouça o Podcast Canaltech no Spotify
🎧Ouça o Podcast Canaltech na Deezer
🎧Ouça o Podcast Canaltech no Apple Podcasts
Wagner Farias, engenheiro de ameaças da INGENI, explica que o volume de downloads não equivale diretamente ao número de vítimas, mas indica a escala da campanha. "Esse aplicativo foi o que mais chamou a atenção pelo volume e como ele se posicionou nestes mercadores falsos", disse Farias ao Podcast Canaltech desta quinta-feira (21).
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Os criminosos evitam as lojas oficiais, como Google Play e App Store, justamente porque essas plataformas usam mecanismos, incluindo inteligência artificial, para rastrear comportamentos suspeitos e remover apps maliciosos rapidamente.
A saída foi apostar em lojas alternativas publicadas na web, que atendem um nicho de usuários em busca de aplicativos gratuitos ou sem licença.
IA abaixa a barreira de entrada para o crime digital
O gatilho do golpe é a engenharia social. A aproximação do prazo de entrega da declaração, que vai até 29 de maio, cria um senso de urgência explorado por campanhas publicitárias direcionadas por público, faixa etária e região. "Quando o usuário, no desespero, começa a pesquisar, vai bater logo aquele anúncio para ele", descreve Farias.
Um fator que preocupa os pesquisadores é o papel da inteligência artificial na sofisticação dos ataques. Ferramentas de IA permitem que criminosos sem formação técnica criem aplicativos com alto nível de fidelidade visual e até persistência no dispositivo da vítima, recurso que antes exigia conhecimento aprofundado de engenharia de software.
Ao ser instalado e executado com as permissões concedidas pelo usuário, o malware pode atuar de duas formas: como infostealer, roubando credenciais salvas em navegadores e dados que trafegam em memória; ou como trojan de acesso remoto (RAT), que abre uma porta para que o criminoso monitore e execute comandos no aparelho à distância.
O download, sem execução do app, raramente compromete o dispositivo. O risco começa quando o usuário abre o aplicativo e concede as permissões solicitadas.
O que fazer se cair no golpe
Para quem executou o app e concedeu acessos, Farias recomenda dois passos: primeiro, restaurar o dispositivo para eliminar a persistência do malware; depois, em outro aparelho, fazer a rotação de todas as credenciais. Trocar senhas antes de limpar o celular pode ser inútil se o software ainda estiver ativo.
Na prevenção, o principal indicador ainda é o domínio. Portais do governo federal operam no padrão gov.br. Qualquer endereço fora desse padrão é motivo de desconfiança imediata.
A aparência do site ou do app, por si só, já não serve como critério: o nível de fidelidade visual das páginas falsas tornou esse filtro pouco confiável.
Leia a matéria no Canaltech.