Pesquisadores de cibersegurança alertam para a evolução dos “droppers” em dispositivos Android, que passaram a distribuir não apenas trojans bancários, mas também espiões e ladrões de SMS, especialmente em países asiáticos e na Índia. Esses aplicativos maliciosos se disfarçam de apps oficiais de bancos ou de serviços do governo, enganando usuários e contornando sistemas de proteção da própria Google. O programa piloto da Play Protect, voltado a regiões de alto risco como Índia e Brasil, tenta barrar aplicativos com permissões suspeitas ou APIs arriscadas antes mesmo da instalação.
No entanto, os novos droppers conseguem contornar esse bloqueio inicial ao se apresentarem como inofensivos, e só ativam seus verdadeiros códigos maliciosos após interações do usuário. Essa falha de tempo entre a instalação e a execução dos códigos maliciosos tem sido explorada por cibercriminosos, permitindo que até malwares simples escapem das checagens iniciais. Os droppers funcionam como “cascas” que protegem e mascaram cargas maliciosas, sendo capazes de trocar o conteúdo para campanhas futuras com facilidade. Entre os droppers identificados estão nomes como RewardDropMiner, que já foi usado para instalar spyware e mineradores de criptomoedas, e versões mais recentes como SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper e TiramisuDropper. Esses mecanismos escondem permissões, atrasam comportamentos suspeitos e garantem a entrega da ameaça ao usuário final. A prática de adiar a execução dos malwares permite que os apps passem despercebidos por sistemas automatizados de detecção, incluindo os mecanismos do Google.
Mesmo o Play Protect, ao identificar riscos, pode ser enganado quando o comportamento malicioso só aparece após o uso contínuo do app. Segundo os especialistas, esse modelo de entrega cria uma vantagem estratégica para os atacantes. Ao encapsular o malware dentro de um dropper, eles garantem mais longevidade para suas campanhas e mais dificuldade para serem neutralizados. Os droppers deixaram de ser ferramentas usadas apenas por agentes avançados. Atualmente, mesmo cibercriminosos com recursos limitados podem usar esses aplicativos para disseminar spyware e roubar credenciais bancárias ou dados pessoais com alta eficiência.
