Como utilizador de Android, poderá assumir que é seguro transferir aplicações da Google Play Store. Isso é compreensível, mas não é totalmente exato.

As verificações de segurança rigorosas tornam a Play Store o local mais seguro para obter aplicações Android, mas não um local totalmente seguro. A loja de aplicações da Google é um alvo prioritário tanto para cibercriminosos como para programadores que monetizam (e, portanto, comprometem) os seus dados, e nunca estará 100% livre de riscos.

É por isso que precisa de escolher aplicações de forma consciente: analisar as aplicações antes de as transferir, auditar as aplicações que já transferiu e proteger os dados do seu dispositivo em caso de incidente.

Como as aplicações maliciosas contornam a Google

No ano passado, a Google bloqueou a publicação de 1,75 milhões de aplicações que violavam as políticas(nova janela) e baniu mais de 80 000 contas de programadores. O Google Play Protect(nova janela), que está integrado na maioria dos dispositivos Android, bloqueou 266 milhões de tentativas de instalação de risco.

Mas a Google só consegue fazer até certo ponto. Os cibercriminosos encontram constantemente formas de contornar as verificações prévias à publicação e à instalação da Google.

Estratégias populares:

  • Submeter aplicações limpas para revisão e, em seguida, lançar atividade maliciosa através de atualizações remotas.
  • Disfarçar aplicações maliciosas como aplicações de utilidade simples (e funcionais), tais como um digitalizador de documentos ou um leitor de PDF.
  • Disfarçar aplicações maliciosas como uma aplicação de segurança ou antivírus, um disfarce particularmente astuto e eficaz — se um utilizador estiver ansioso por resolver um problema, será menos provável que analise detalhadamente antes de instalar.

2 029 aplicações(nova janela) são publicadas na Play Store todos os dias, pelo que é inevitável que algumas aplicações maliciosas passem pela rede da Google. No ano passado, a Bitdefender descobriu uma campanha de fraude publicitária com o nome de código Vapor(nova janela) que envolvia pelo menos 331 aplicações maliciosas, algumas das quais estavam a recolher credenciais de utilizador e dados de cartões de crédito.

Estas aplicações foram transferidas da Play Store mais de 60 milhões de vezes.

As aplicações legítimas ainda podem colocar os seus dados em risco

As aplicações maliciosas não são os únicos perigos a ter em conta na Play Store. Existem também aplicações legítimas que recolhem e guardam silenciosamente os seus dados pessoais e de rastreio, e os partilham com terceiros, tais como redes de anúncios.

No ano passado, a NowSecure testou 25 000 aplicações(nova janela) em iOS e Android e descobriu que 75% das aplicações iOS e 70% das aplicações Android testadas recolhiam tanto dados sensíveis como domínios de rastreio.

A Google permite estas aplicações na Play Store porque os seus programadores divulgam abertamente que dados recolhem e porquê na secção de segurança de dados da página de produto da aplicação.

A Google reforçou a sua política em 2025, bloqueando 255 000 aplicações(nova janela) de obterem “acesso excessivo” a dados sensíveis. Isso deixa milhares de aplicações não bloqueadas que recolhem dados em conformidade com a política da Google, mas ainda muito acima do que os utilizadores poderiam esperar.

Isto não é apenas uma preocupação de privacidade: é também perigoso. Aplicações legítimas, mas ávidas de dados, partilham rotineiramente dados de utilizadores com SDK de publicidade e parceiros de análise. Estes terceiros podem, depois, transmitir esses dados a corretores de dados sem escrúpulos.

Cada ligação nesta cadeia é um potencial ponto de incidente. Se os seus dados forem comprometidos, poderá não se inteirar disso até que seja demasiado tarde.

O que deve ter em conta: uma lista de verificação de cinco pontos

Não existe uma lista negra fidedigna e atualizada de aplicações banidas (e que deveriam ser banidas) que possa consultar.

Mas existem aspetos que pode ter em conta para identificar aplicações de risco:

  1. Verifique a secção de segurança dos dados: o programador explicou que dados recolhe e como os irá utilizar? Uma secção de segurança de dados vazia é, naturalmente, um grande sinal de alerta, mas o mesmo se aplica a uma política que não corresponda à funcionalidade da aplicação. Uma aplicação de lanterna não deveria precisar de aceder aos seus contactos.
  2. Leia as permissões na instalação: assim que instalar uma aplicação, esta irá frequentemente solicitar acesso à sua localização, contactos, armazenamento e/ou microfone. Por vezes, isso faz sentido, mas outras vezes pode parecer excessivo. Mais uma vez, uma aplicação de imagem de fundo precisa de saber a sua localização?
  3. Verifique o nome e o histórico do programador: o programador é uma empresa conhecida com outras aplicações publicadas e presença na web? Ou é uma conta individual com apenas esta aplicação em seu nome, sem qualquer rasto para contextualizar? 
  4. Verifique se as avaliações são reais: as avaliações falsas tendem a surgir em padrões óbvios. Uma enxurrada de avaliações de cinco estrelas publicadas num curto espaço de tempo é uma tática de manipulação conhecida. Procure avaliações críticas intercaladas com avaliações positivas, bem como uma grande dispersão de datas.
  5. Tenha cuidado com as aplicações de utilidade gratuitas: os disfarces mais comuns para aplicações maliciosas e aplicações de recolha de dados são aplicações gratuitas de lanterna e bateria, aplicações de teclado, editores de imagem gratuitos, aplicações meteorológicas com acesso à localização e jogos com anúncios. Se uma aplicação for gratuita e não conseguir ver como a sua função poderia dar dinheiro aos seus programadores, então a resposta pode ser que os seus dados são o modelo de receita deles.

Como proteger os seus dados

Mesmo que tenha feito a sua devida diligência, ainda assim poderá acabar por transferir uma aplicação maliciosa da Play Store. No entanto, com as proteções adequadas ativas, pode limitar os danos que essa aplicação pode causar.

Encripte a sua ligação com o Proton VPN

As aplicações maliciosas tentam frequentemente transmitir os seus dados (incluindo o seu comportamento de navegação, localização e identificadores de dispositivos) através de uma ligação sem encriptação.

Eis o Proton VPN: uma VPN segura(nova janela) que

  • Encripta todos os dados de e para o seu telemóvel ao nível da rede, tornando a transmissão e a interceção do comportamento de navegação, localização e identificadores de dispositivos significativamente mais difíceis
  • Impede a vigilância ao nível da rede em redes Wi-Fi públicas (um vetor de ataque comum(nova janela) para aplicações comprometidas) 
  • Bloqueia as transmissões de dados de que os SDK de análise dependem (através do bloqueador de rastreadores integrado NetShield(nova janela)), limitando os dados que os programadores podem partilhar com terceiros

Proteja as suas credenciais com o Proton Pass

As aplicações maliciosas utilizam keyloggers invisíveis e sobreposições de phishing para roubar credenciais de início de sessão. Isto pode ser particularmente prejudicial se — como muitos — reutilizar as mesmas palavras-passe em várias contas.

O Proton Pass é um gestor de palavras-passe seguro que resolve ambos os problemas:

  • Gera palavras-passe exclusivas para cada conta que criar, pelo que, se uma for comprometida, não serão todas comprometidas
  • Protege palavras-passe, chaves de acesso e cartões de crédito com encriptação ponto a ponto de conhecimento zero. Isto significa que as suas credenciais são encriptadas no seu dispositivo antes de saírem dele, e nem sequer a Proton pode aceder às mesmas.

Saiba como remover malware

Se está preocupado com a possibilidade de o seu dispositivo ter sido comprometido, ou se quer saber o que procurar quando isso acontece, certifique-se de que reconhece os sinais de que o seu telemóvel foi pirateado.