Como usuário do Android, você pode achar que é seguro baixar aplicativos da Google Play Store. Isso é compreensível, mas não é totalmente verdade.

Verificações de segurança rigorosas tornam a Play Store o lugar mais seguro para obter aplicativos Android, mas não um lugar totalmente seguro. A loja de aplicativos do Google é um alvo principal tanto para cibercriminosos quanto para desenvolvedores que monetizam (e, portanto, comprometem) seus dados, e nunca estará 100% livre de riscos.

É por isso que você precisa escolher aplicativos com consciência: avaliando aplicativos antes de baixá-los, auditando os aplicativos que você já baixou e protegendo os dados do seu dispositivo em caso de violação.

Como aplicativos maliciosos passam pelo Google

No ano passado, o Google bloqueou a publicação de 1,75 milhão de aplicativos que violavam as políticas(nova janela) e baniu mais de 80.000 contas de desenvolvedores. O Google Play Protect(nova janela), que já vem integrado na maioria dos dispositivos Android, bloqueou 266 milhões de tentativas de instalação de risco.

Mas o Google só consegue fazer até certo ponto. Os cibercriminosos encontram constantemente maneiras de burlar os escaneamentos prévios de publicação e instalação do Google.

Estratégias populares:

  • Enviar aplicativos limpos para revisão e depois lançar atividades maliciosas por meio de atualizações remotas.
  • Disfarçar aplicativos maliciosos como aplicativos utilitários simples (e funcionais), como um scanner de documentos ou leitor de PDF.
  • Disfarçar aplicativos maliciosos como um aplicativo de segurança ou antivírus, um disfarce particularmente astuto e eficaz — se um usuário estiver ansioso para resolver um problema, será menos provável que ele faça uma análise detalhada antes de instalar.

2.029 aplicativos(nova janela) são publicados na Play Store todos os dias, por isso é inevitável que alguns aplicativos maliciosos passem pela rede do Google. No ano passado, a Bitdefender descobriu uma campanha de fraude publicitária codinome Vapor(nova janela) que envolvia pelo menos 331 aplicativos maliciosos, alguns dos quais coletavam credenciais de usuários e dados de cartão de crédito.

Esses aplicativos foram baixados da Play Store mais de 60 milhões de vezes.

Aplicativos legítimos ainda podem colocar seus dados em risco

Aplicativos maliciosos não são os únicos perigos aos quais você deve ficar atento na Play Store. Também existem aplicativos legítimos que coletam e armazenam discretamente seus dados pessoais e de rastreamento, e os compartilham com terceiros, como redes de anúncios.

No ano passado, a NowSecure testou 25.000 aplicativos(nova janela) no iOS e no Android e descobriu que 75% dos aplicativos de iOS e 70% dos aplicativos de Android testados coletavam tanto dados confidenciais quanto domínios de rastreamento.

O Google permite esses aplicativos na Play Store porque seus desenvolvedores divulgam abertamente quais dados coletam e o porquê na seção de segurança de dados da página de produto do aplicativo.

O Google tornou sua política mais rigorosa em 2025, bloqueando 255.000 aplicativos(nova janela) de obterem “acesso excessivo” a dados confidenciais. Isso deixa milhares de aplicativos desbloqueados que coletam dados de acordo com a risca da política do Google, mas ainda muito além do que os usuários esperariam.

Isso não é apenas uma preocupação de privacidade: também é perigoso. Aplicativos legítimos, mas sedentos por dados, rotineiramente compartilham dados de usuários com SDKs de publicidade e parceiros de análise de dados. Esses terceiros podem, então, repassar esses dados para corretores de dados inescrupulosos.

Cada link nessa cadeia é um ponto potencial de violação. Se os seus dados forem comprometidos, você pode não descobrir até que seja tarde demais.

O que observar: um checklist de cinco pontos

Não há uma lista negra oficial e atualizada de aplicativos banidos (e que deveriam ser banidos) que você possa consultar.

Mas há coisas às quais você pode ficar atento para identificar aplicativos de risco:

  1. Verifique a seção de segurança de dados: o desenvolvedor explicou quais dados coleta e como os usará? Uma seção de segurança de dados vazia é um grande sinal de alerta, é claro, mas o mesmo vale para uma política que não condiz com a funcionalidade do aplicativo. Um aplicativo de lanterna não deveria precisar acessar seus contatos.
  2. Leia as permissões ao instalar: depois de instalar um aplicativo, ele frequentemente solicitará acesso à sua localização, contatos, armazenamento, localização e/ou microfone. Às vezes isso faz sentido, mas outras vezes pode parecer excessivo. Novamente, um aplicativo de papel de parede precisa saber sua localização?
  3. Verifique o nome e o histórico do desenvolvedor: o desenvolvedor é uma empresa registrada com outros aplicativos publicados e presença na web? Ou é uma conta de uma única pessoa com apenas esse aplicativo em seu nome, sem nenhum histórico para fornecer contexto? 
  4. Verifique se as avaliações são reais: avaliações falsas tendem a aparecer em padrões óbvios. Uma enxurrada de avaliações de cinco estrelas publicadas em um curto período é uma tática de manipulação conhecida. Procure por avaliações críticas intercaladas com avaliações positivas e por uma ampla variedade de datas.
  5. Cuidado com aplicativos utilitários gratuitos: os disfarces mais comuns tanto para aplicativos maliciosos quanto para aplicativos de coleta de dados são aplicativos gratuitos de lanterna e bateria, aplicativos de teclado, editores de fotos gratuitos, aplicativos de clima com acesso à localização e jogos com anúncios. Se um aplicativo é gratuito e você não consegue ver como sua função poderia render dinheiro aos desenvolvedores, a resposta pode ser que seus dados são o modelo de receita deles.

Como proteger seus dados

Mesmo se você tiver feito sua lição de casa, ainda pode acabar baixando um aplicativo malicioso da Play Store. Mas com as proteções certas ativas, você pode limitar os danos que esse aplicativo pode causar.

Criptografe sua conexão com o Proton VPN

Aplicativos maliciosos frequentemente tentarão transmitir seus dados (incluindo seu histórico de navegação, localização e identificadores de dispositivo) por meio de uma conexão não criptografada.

Apresentamos o Proton VPN: uma VPN segura(nova janela) que

  • Criptografa todos os dados enviados e recebidos pelo seu celular no nível da rede, tornando a transmissão e a interceptação do histórico de navegação, localização e identificadores do dispositivo significativamente mais difíceis
  • Previne o monitoramento no nível da rede em redes Wi-Fi públicas (un vetor de ataque comum(nova janela) para aplicativos comprometidos) 
  • Bloqueia transmissões de dados das quais as SDKs de análise dependem (por meio do bloqueador de rastreadores integrado NetShield(nova janela)), limitando quais dados os desenvolvedores podem compartilhar com terceiros

Proteja suas credenciais com o Proton Pass

Aplicativos maliciosos usam keyloggers invisíveis e sobreposições de phishing para roubar credenciais de início de sessão. Isso pode ser particularmente prejudicial se você — como muitos — reutilizar as mesmas senhas em várias contas.

O Proton Pass é um gerenciador de senhas seguro que resolve ambos os problemas:

  • Gera senhas exclusivas para cada conta que você criar, de modo que, se uma for violada, elas não serão todas violadas
  • Protege senhas, passkeys e cartões de crédito com criptografia de conhecimento zero de ponta a ponta. Isso significa que suas credenciais são criptografadas no seu dispositivo antes de saírem dele, e nem mesmo a Proton pode acessá-las.

Saiba como remover malware

Se você estiver preocupado que seu dispositivo possa ter sido comprometido, ou se quiser saber o que procurar quando isso acontecer, certifique-se de reconhecer os sinais de que seu telefone foi hackeado.