Cibercriminosos estão usando um aplicativo legítimo da Play Store chamado Supremo para aplicar fraudes digitais. A campanha foi identificada pela ESET em ampla circulação na Argentina, embora também marque presença em território brasileiro há pelo menos três anos.
- Kit de phishing ameaça clientes de bancos com roubo de dados em tempo real
- Golpistas envenenam buscas de IA com falsos números de suporte
A análise descobriu que os hackers estão fingindo ser funcionários de um banco argentino nas redes sociais como modus operandi para enganar os usuários. O objetivo é assumir o controle dos dispositivos usando o app para acessar informações sensíveis, principalmente dados bancários.
Segundo relatos, os golpes vêm acontecendo no país vizinho desde maio de 2024 com a exploração da ferramenta, que oferece suporte técnico e administrativo à distância. Vítimas afirmaram terem sofrido roubo de dinheiro e contratação de empréstimos após as ocorrências fraudulentas.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Anúncios falsos e controle remoto
A campanha golpista parte da divulgação de anúncios falsos nas redes sociais, como no Facebook. As propagandas miram os idosos, prometendo descontos em serviços destinados à terceira idade.
Como exigência para obter a suposta promoção, a vítima é orientada a entrar em contato com o banco por meio de uma ligação no WhatsApp, e é justamente na conversa que o golpista aposta na engenharia social para convencê-la a baixar um aplicativo “necessário” para concluir o processo, nesse caso o Supremo.
Assim que o alvo faz o download do app, é possível compartilhar um código de acesso com o criminoso, que passa a ter controle remoto do aparelho. Dessa forma, ele consegue ver tudo que aparece na tela, além de abrir aplicativos, transferir arquivos e realizar transferências bancárias como se fosse o próprio usuário.
Além dos bancos, empresas como Netflix, Mercado Livre e Starlink tiveram suas identidades falsificadas em campanhas que usaram o Supremo para aplicar fraudes, conforme relatado por usuários na própria Play Store.
Daniel Barbosa, pesquisador de segurança da ESET no Brasil, explica que o uso de ferramentas para acesso remoto em campanhas fraudulentas não é algo inédito, mas a aplicação no universo bancário é incomum. “Isso mostra uma mudança considerável nas estratégias dos golpistas, que agora buscam driblar a conscientização sobre o não compartilhamento de senhas”, ele analisa.
Caso antigo no Brasil
Saindo do território argentino, o Brasil tem relatos envolvendo golpes por acesso remoto, os chamados “mão fantasma”, aparecendo desde 2022. Por aqui, o processo é o mesmo que anda acontecendo na Argentina: hackers manipulam as vítimas para que elas instalem aplicativos como o AnyDesk e o próprio Supremo, por exemplo, para ajudar com supostos problemas de conta, fazer atualizações de segurança ou verificar atividades suspeitas de maneira remota.
Para ter uma noção do estrago, uma pesquisa da Kaspersky verificou que, entre 2024 e 2025, o número de fraudes digitais do tipo cresceram de maneira significativa, sendo detectada mais de 10 mil vezes no país e gerando prejuízos bancários grandiosos para as vítimas. As transferências geralmente ocorrem via Pix.
Nos casos de 2022, as operações miravam brasileiros aposentados ou com pouca familiaridade com dispositivos tecnológicos, que eram contatados por falsas centrais de bancos via ligação telefônica ou WhatsApp. Para Daniel Barbosa, “isso reforça a necessidade de campanhas educativas constantes sobre segurança digital e canais oficiais de atendimento”.
Diante desse cenário, os especialistas recomendam nunca instalar aplicativos de acesso remoto a partir da orientação de terceiros, tampouco compartilhar códigos gerados por essas ferramentas. Além disso, vale reforçar que bancos jamais pedirão informações sensíveis por telefone ou qualquer outro meio, como senhas ou o número de segurança do seu cartão.
Leia também:
- “Golpe do cartão trocado” se espalha pelo Brasil; veja como se proteger
- Navegadores de IA não são seguros e precisam ser bloqueados, diz Gartner
- Fotos no Instagram podem servir para criminosos praticarem sequestro virtual
Leia a matéria no Canaltech.
