Um novo trojan de acesso remoto para Android está sendo comercializado abertamente na internet sob modelo de assinatura mensal. Batizado de Oblivion, o malware combina automação de permissões, controle remoto invisível, interceptação de autenticação em dois fatores (2FA) e mecanismos avançados de persistência, tudo embalado em uma plataforma pronta para uso.
A descoberta foi divulgada pela empresa de segurança Certo, que identificou o anúncio da ferramenta em fórum aberto, incluindo vídeo demonstrativo, painel administrativo web e planos comerciais que variam de mensalidade a licença vitalícia.
Mais do que um novo malware, o caso evidencia uma tendência crítica: a consolidação do modelo Malware as a Service, voltado para dispositivos móveis, com impacto direto sobre bancos, fintechs, carteiras digitais e qualquer organização que dependa da confiança no ecossistema Android.
RAT como serviço: quando o crime ganha escala industrial
O Oblivion não é distribuído como código bruto para desenvolvedores experientes. Ele é vendido como serviço.
O operador paga uma assinatura e recebe acesso a um painel web com:
-
APK Builder para criação automatizada de aplicativos maliciosos personalizados;
-
Dropper Builder para geração de instaladores que entregam o payload principal;
-
Infraestrutura de comando e controle;
-
Suporte a múltiplas sessões simultâneas;
-
Atualizações contínuas da ferramenta.
Os valores anunciados giram em torno de centenas de dólares por mês, chegando a alguns milhares para uso vitalício. A proposta é clara: reduzir drasticamente a barreira técnica para a condução de ataques sofisticados.
Na prática, o desenvolvedor transforma capacidade ofensiva avançada em produto comercial acessível.
Como o malware chega à vítima
O vetor principal descrito é engenharia social.
A ferramenta permite criar um aplicativo falso com:
-
Nome customizado;
-
Ícone idêntico ao de aplicativos legítimos;
-
Modo de execução configurável;
-
Disfarce como serviços do sistema, como “Google Services”.
O dropper gera uma tela falsa de atualização, simulando um alerta crítico de sistema, geralmente com mensagens como “Update Required”. A vítima é instruída a habilitar a instalação de fontes desconhecidas, o que permite a instalação manual do APK malicioso.
É importante reforçar: atualizações legítimas do Android não são distribuídas por pop-ups externos ou aplicativos paralelos.
Esse modelo continua eficaz porque explora um fator estrutural: o usuário confia visualmente na interface.
O que o invasor pode fazer após a infecção
Uma vez instalado, o Oblivion atua como um RAT, concedendo controle remoto quase total do dispositivo.
Entre as capacidades anunciadas estão:
-
Leitura, envio e bloqueio de SMS, incluindo códigos 2FA;
-
Interceptação e ocultação de notificações push, inclusive bancárias;
-
Registro de tudo que é digitado por meio de keylogging;
-
Acesso a arquivos e aplicativos instalados;
-
Abertura e desinstalação remota de apps;
-
Captura de credenciais e PIN;
-
Desbloqueio automático do aparelho, mesmo após reinicialização.
Na prática, isso transforma o smartphone em um terminal sob controle do atacante, com visibilidade completa sobre autenticações, comunicações e interações sensíveis.
Persistência e resistência à remoção
Um dos pontos mais preocupantes é o foco em permanência.
O Oblivion afirma:
-
Bloquear tentativas de revogação de permissões;
-
Impedir a desinstalação do aplicativo;
-
Reativar automaticamente serviços críticos;
-
Ocultar ícone e mascarar processos;
-
Manter-se ativo por meses.
Além disso, a infraestrutura anunciada promete suportar milhares de sessões simultâneas, inclusive com uso de redes de anonimização.
Isso indica uma arquitetura pensada para escala, e não para ataques isolados.
Serviço de Acessibilidade como ponto crítico
O núcleo técnico do ataque está na exploração do Accessibility Service, conhecido no Android como Serviço de Acessibilidade.
Esse recurso foi criado para auxiliar pessoas com deficiência, permitindo que aplicativos:
-
Leiam o conteúdo da tela;
-
Interajam com elementos da interface;
-
Automatizem ações.
Quando abusado, ele se torna extremamente poderoso.
Com esse acesso, um malware pode:
-
Ler qualquer informação exibida;
-
Clicar em botões automaticamente;
-
Aprovar permissões sem que a vítima perceba;
-
Interceptar textos digitados;
-
Suprimir diálogos de segurança.
O desenvolvedor do Oblivion afirma contornar proteções inclusive em interfaces customizadas como MIUI e HyperOS da Xiaomi, One UI da Samsung, ColorOS da OPPO, MagicOS da Honor e OxygenOS da OnePlus, além de versões recentes do Android.
Se confirmado em larga escala, isso representa um desafio relevante às camadas de proteção implementadas nas versões mais atuais do sistema.
Hidden VNC e controle remoto invisível
Outro recurso crítico é o uso de VNC, tecnologia de visualização e controle remoto de tela.
Mais preocupante é o chamado Hidden VNC, ou HVNC.
Enquanto a vítima visualiza uma tela falsa de “System updating…”, o invasor interage com o dispositivo em segundo plano, sem que o usuário veja o que está acontecendo.
Isso permite:
-
Transferências bancárias invisíveis;
-
Acesso a carteiras de criptomoedas;
-
Alteração de configurações de segurança;
-
Inclusão de novos dispositivos confiáveis.
Há ainda menção a técnicas capazes de contornar mecanismos de tela preta usados por aplicativos financeiros para impedir captura de tela.
Por que isso é estratégico para o mercado
O Oblivion não é apenas mais um malware móvel. Ele representa três tendências estruturais.
1. Profissionalização do crime móvel
Ferramentas com interface amigável, suporte e modelo de assinatura reduzem a dependência de conhecimento técnico.
2. Automação de permissões
A capacidade de automatizar concessões críticas diminui a fricção operacional do ataque.
3. Escalabilidade
Infraestrutura preparada para milhares de sessões indica intenção de campanhas massivas, e não ataques pontuais.
Para bancos, fintechs, empresas de meios de pagamento e qualquer organização com aplicativo móvel, isso amplia o risco de:
-
Fraudes financeiras;
-
Account takeover;
-
Bypass de MFA;
-
Perda de confiança do cliente;
-
Impacto regulatório.
Como reduzir o risco
Embora não exista solução única, algumas medidas reduzem significativamente a exposição.
Para usuários
-
Instalar aplicativos exclusivamente pela loja oficial;
-
Desconfiar de telas de atualização inesperadas;
-
Revisar regularmente aplicativos com acesso ao Serviço de Acessibilidade;
-
Manter o sistema operacional atualizado;
-
Utilizar soluções de proteção móvel confiáveis.
Para organizações
-
Implementar detecção comportamental antifraude;
-
Monitorar padrões de sessão anômalos;
-
Reforçar controles de device binding;
-
Avaliar estratégias de MFA resistentes à interceptação, como FIDO2;
-
Investir em monitoramento contínuo de ameaças móveis.
O Oblivion simboliza a maturidade do ecossistema de malware móvel. Não se trata apenas de um trojan isolado, mas de uma plataforma comercial estruturada para escalar fraudes com baixo esforço técnico.
Ao combinar automação de permissões sensíveis, controle remoto invisível, interceptação de autenticação e modelo de assinatura, o desenvolvedor reduz a barreira de entrada para ataques sofisticados contra dispositivos Android.
Para o mercado, a mensagem é clara: a superfície de ataque móvel continua evoluindo, e a resposta precisa evoluir na mesma velocidade.
