Um aplicativo que se passava pelo oficial da Receita Federal alcançou mais de 16 mil downloads em lojas não oficiais antes de ser retirado do ar. Essa informação foi revelada em um levantamento da INGENI, uma divisão de inteligência avançada da Redbelt Security. O estudo faz parte de um mapeamento mais amplo que, durante a atual temporada do Imposto de Renda 2026, identificou pelo menos 80 páginas falsas, 26 perfis fraudulentos nas redes sociais e cerca de 10 aplicativos maliciosos com temática fiscal.
Wagner Farias, engenheiro de ameaças da INGENI, destacou que, embora o número de downloads não reflita diretamente a quantidade de vítimas, ele demonstra a amplitude da campanha criminosa. "Esse aplicativo foi o que mais se destacou pelo volume e pela forma como se posicionou entre os mercadores falsos", afirmou Farias em um episódio do Podcast Canaltech, publicado na quinta-feira (21).
Os criminosos optam por evitar as lojas oficiais, como Google Play e App Store, uma vez que essas plataformas utilizam mecanismos, incluindo inteligência artificial, para identificar comportamentos suspeitos e remover rapidamente aplicativos maliciosos. Em resposta, os golpistas recorrem a lojas alternativas disponíveis na web, que atraem usuários em busca de aplicativos gratuitos ou sem licença.
A engenharia social é o gatilho principal para o golpe, já que a proximidade do prazo de entrega da declaração, que se encerra em 29 de maio, gera um senso de urgência que é explorado por campanhas publicitárias direcionadas a públicos específicos, com base em faixa etária e região. "Quando o usuário, no desespero, começa a pesquisar, logo se depara com aquele anúncio", explicou Farias.
Um aspecto preocupante para os pesquisadores é o uso de inteligência artificial na elaboração de ataques mais sofisticados. Ferramentas de IA permitem que até mesmo criminosos sem formação técnica consigam criar aplicativos com alta fidelidade visual, além de possibilitar que esses softwares permaneçam no dispositivo por mais tempo. Entre as ameaças estão infostealers, que roubam credenciais salvas em navegadores e dados que trafegam na memória, e trojans de acesso remoto (RAT), que abrem portas para que os criminosos possam monitorar e executar comandos à distância.
O risco à segurança do dispositivo aumenta quando o usuário abre o aplicativo e concede as permissões solicitadas. Farias recomenda que, caso alguém tenha baixado o app e dado os acessos, dois passos são essenciais: primeiro, restaurar o dispositivo para eliminar a persistência do malware; em seguida, utilizar outro aparelho para trocar todas as credenciais. Trocar senhas antes de limpar o celular pode não ser eficaz se o software ainda estiver ativo.
