Um aplicativo de alertas de foguetes, usado por israelenses para se proteger de ataques de mísseis, foi transformado em ferramenta de espionagem por hackers. De acordo com pesquisadores de segurança da empresa de cibersegurança Acronis, o ataque pode ter ligações com um grupo apoiado por um estado estrangeiro.
A versão falsa do aplicativo Red Alert circulou em março de 2026 por meio de mensagens de SMS que imitavam comunicados oficiais do governo israelense. Os criminosos instalavam silenciosamente um programa capaz de capturar mensagens, contatos, localização em tempo real e senhas no celular das vítimas. Tudo isso enquanto o app continuava emitindo alertas reais de foguetes, sem levantar qualquer suspeita.
Smishing como golpe inicial
O ataque começa com uma técnica chamada smishing. É uma variação do phishing, que tenta enganar vítimas para que entreguem informações ou instalem algo malicioso. Nesse caso, o ataque é realizado por SMS.
A vítima recebe uma mensagem de texto que aparentemente vem do Comando da Frente Interna israelense, autoridade governamental responsável por orientar a população em situações de emergência.
A mensagem alega que há uma falha no aplicativo de alertas e que é preciso instalar uma versão atualizada. Ela contém um link encurtado que esconde o endereço real do site dos atacantes.
O remetente da mensagem foi falsificado por meio de uma técnica chamada spoofing. Os atacantes manipularam o campo “De:” do SMS para que ele exibisse um nome confiável, mesmo sem qualquer ligação com o governo israelense.
O arquivo malicioso
Ao clicar no link, a vítima é direcionada para o download de um arquivo com extensão .apk. APK é o formato de instalação de aplicativos no Android, equivalente a um instalador de computador. Esse arquivo não veio da Google Play Store. Veio de um site controlado pelos atacantes.
Esse tipo de instalação fora da loja oficial é chamado de sideloading. O Android normalmente alerta o usuário sobre os riscos disso, mas a urgência fabricada pela mensagem faz com que a vítima ignore o aviso.
Arquitetura dupla
O aplicativo instalado no dispositivo da vítima não é apenas um malware comum. Ele funciona como um dropper, programa cujo objetivo é instalar outro programa dentro do sistema, combinado com um spyware, que é um software de espionagem.
Escondido dentro do arquivo malicioso, existe o aplicativo legítimo e original do Red Alert, compactado e oculto. Quando executado pela primeira vez, o malware extrai esse arquivo e o instala no dispositivo.
Em seguida, manipula componentes internos do Android para que o sistema passe a executar o aplicativo legítimo no lugar do malicioso. O resultado é que a vítima interage com o Red Alert real, funcionando perfeitamente, enquanto o componente de espionagem opera de forma completamente invisível.
Para parecer ainda mais legítimo, o malware falsifica sua própria assinatura digital. Assinatura digital é um tipo de certificado de autenticidade que o Android usa para verificar se um aplicativo é genuíno.
O malware intercepta essa verificação e responde com uma assinatura falsa. Também convence o sistema de que foi instalado pela própria Google Play Store.
A coleta de dados
Ao abrir o aplicativo, a vítima concede uma série de permissões sem suspeitar. Assim que o acesso ao SMS é liberado, o malware consulta imediatamente o banco de dados completo de mensagens do dispositivo. Quando a permissão de contatos é concedida, extrai nomes, números de telefone e endereços de e-mail de toda a agenda.
O uso da localização vai além da simples coleta de coordenadas. O malware compara a posição da vítima com uma área geográfica pré-definida e só executa determinadas ações se ela estiver dentro de um raio configurado. Essa técnica é chamada de geofencing, uma espécie de cerca geográfica virtual. Isso indica que o ataque foi planejado para ter um foco geográfico preciso.
O malware também lista todas as contas registradas no dispositivo, como Google e e-mail, e enumera todos os aplicativos instalados. Esses dados são enviados aos atacantes em lotes, permitindo que eles mapeiem o ambiente digital da vítima e identifiquem alvos de alto valor, como aplicativos bancários e plataformas de mensagem.
Para dificultar a análise do código, os desenvolvedores aplicaram várias camadas de ofuscação. Os nomes de funções foram substituídos por sequências aleatórias sem significado. Os endereços dos servidores foram criptografados com uma técnica chamada XOR. Sem a chave correta, o texto permanece completamente ilegível.
O destino dos dados
Todas as informações coletadas são enviadas a um servidor C2, sigla para Command and Control, ou Comando e Controle. É o servidor remoto operado pelos atacantes para receber os dados roubados e enviar instruções ao malware.
O endereço desse servidor estava oculto no código do malware. Após ser decodificado pelos pesquisadores, revelou ser https://api.ra-backup.com/analytics/submit.php. O domínio foi registrado em meados de 2025. Esse é um padrão comum nesse tipo de operação, onde domínios são criados para uma campanha específica e depois descartados.
Quem está por trás do ataque
Os pesquisadores avaliam que a campanha pode estar ligada a um grupo chamado Arid Viper, também conhecido como APT-C-23. APT significa Advanced Persistent Threat, ou Ameaça Persistente Avançada.
É uma designação para grupos de atacantes altamente organizados, geralmente patrocinados por estados, que conduzem operações de espionagem sofisticadas e de longo prazo. O Arid Viper tem histórico de ataques a alvos israelenses e palestinos usando spyware para Android.
A atribuição não é definitiva. As técnicas observadas são consistentes com o histórico do grupo, mas não são exclusivas dele.
A Acronis recomenda que qualquer pessoa que tenha instalado o aplicativo fora da Google Play Store realize uma restauração completa de fábrica no dispositivo e troque as senhas de todas as contas acessadas pelo celular.
O aplicativo legítimo do Red Alert está disponível exclusivamente pela Play Store e não requer permissões de acesso a SMS ou contatos para funcionar.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.