Kaleidoscope é um golpe publicitário que propaga uma variante de malware especializada em exibir publicidade intrusiva (adware), direcionada principalmente a dispositivos Android na América Latina, com foco no Brasil, México, Peru e Argentina.
Esse malware foi desenvolvido para gerar visualizações falsas ou de baixo valor comercial em anúncios legítimos, utilizando um aplicativo malicioso que sobrecarrega dispositivos Android com publicidade intrusiva. Assim, consegue enganar redes de publicidade, como o AdMob do Google, levando essas plataformas a remunerar os golpistas por interações falsas e não intencionais.
O golpe se baseia na distribuição de um aplicativo isca, com todas as características de um app legítimo e aceito em lojas oficiais, além de uma cópia maliciosa (sua "gêmea do mal") em lojas de terceiros, que costumam ter controles de segurança mais fracos.
Usuários que baixam esse aplicativo de sites não oficiais sofrem uma invasão de anúncios, lentidão no dispositivo e outros comportamentos estranhos.
Como o Kaleidoscope atua
O golpe funciona a partir da criação de duas versões do mesmo aplicativo:
- Uma versão legítima, aprovada nas lojas oficiais e integrada à rede de publicidade, apta a exibir anúncios e gerar receita normalmente.
- Uma versão maliciosa, distribuída em lojas de terceiros, que utiliza exatamente o mesmo ID de publicidade da versão legítima.
Ao compartilhar o mesmo identificador, as duas versões se tornam indistinguíveis para as redes de anúncios. Assim, os anúncios exibidos pelo app malicioso geram receita para os golpistas como se tivessem origem no aplicativo legítimo, que também foi lançado por eles. Dessa forma, os criminosos conseguem burlar os mecanismos de verificação das plataformas de publicidade e lucrar de maneira ilícita.
Consequências
As empresas que contratam redes de publicidade esperam que seus anúncios sejam exibidos em aplicativos legítimos, de forma controlada e segmentada. No entanto, parte desse investimento acaba indo para as mãos de cibercriminosos, que manipulam o sistema de distribuição de anúncios e fazem com que as empresas paguem por interações falsas e sem valor real.
Além disso, as marcas anunciadas podem ter sua imagem prejudicada, ficando associadas a experiências negativas dos usuários, como a exibição constante de anúncios indesejados e a queda de desempenho dos dispositivos infectados.
Um adware muito presente entre os países da América Latina
O Kaleidoscope, identificado pelo IAS Lab, foi responsável por 28% de todas as detecções de adware no primeiro semestre de 2025, segundo dados de telemetria apresentados no mais recente ESET Threat Report.
Essas detecções, classificadas como a variante MPP do Android/TrojanDropper.Agent, demonstram uma forte presença nos países latino-americanos, onde o uso de lojas de aplicativos de terceiros é bastante comum.
No ranking global de detecções no primeiro semestre de 2025, o Brasil lidera na América Latina com 19,4% dos casos, seguido por México (16,3%), Peru (6%) e Argentina (5,7%). Apenas a Turquia, com 20,1%, registrou mais detecções que o Brasil.
Como identificar esses aplicativos
Detectar aplicativos maliciosos nem sempre é tarefa fácil, mas existem alguns sinais de alerta. Em alguns casos analisados envolvendo o Kaleidoscope, o ícone do app malicioso é genérico ou até mesmo sem nome, e ao abrir o aplicativo, nenhuma interface é exibida, apenas a tela de informações do app. Além disso, o comportamento do app costuma ser anormal, como exibir anúncios mesmo sem qualquer interação do usuário.
Evolução dos golpes publicitários
O Kaleidoscope representa uma evolução em relação à campanha Konfety, que utilizava o framework de publicidade CaramelAds. Para continuar agindo sem serem detectados, os criminosos mudaram de estratégia e desenvolveram novos SDKs (kits de desenvolvimento de software), tornando o esquema ainda mais sofisticado e difícil de ser identificado.
Aumento das ameaças móveis: adware e clickers dominam as detecções no Android
Durante o primeiro semestre de 2025, de acordo com o nosso mais recente ESET Threat Report, as ameaças móveis no Android apresentaram um crescimento alarmante, com um aumento de 160% nas detecções de adware e clickers, muito acima da média geral. Essas ameaças, associadas a aplicativos distribuídos por meio de anúncios, geram receitas falsas ao exibir publicidade não solicitada ou simular cliques sem o conhecimento do usuário, afetando tanto a experiência quanto o desempenho do dispositivo.
Muitos desses aplicativos são classificados pela ESET como PUAs (aplicativos potencialmente indesejados). Embora nem sempre atendam aos critérios técnicos de malware, seu comportamento pode ser intrusivo ou enganoso: exibem anúncios em excesso, deixam o sistema mais lento, consomem bateria e coletam dados sem o devido consentimento.
Dicas de segurança
Diante do crescimento contínuo das ameaças móveis no Android no último semestre, torna-se ainda mais importante ter atenção ao baixar aplicativos e revisar cuidadosamente suas configurações e permissões.
Assim como ocorre com o Kaleidoscope, muitas ameaças exploram sites ou lojas não oficiais, que geralmente possuem controles de segurança mais fracos do que as lojas oficiais. Por isso, é fundamental adotar medidas preventivas, como:
- Baixar aplicativos apenas de lojas oficiais, como a Google Play;
- Ficar atento a ícones suspeitos ou aplicativos que não se comportam como deveriam;
- Revisar os permissões solicitados por cada aplicativo;
- Utilizar soluções de segurança que detectem aplicativos potencialmente indesejados (PUAs);
- Ativar a detecção de adware e trojans nas soluções de segurança para dispositivos móveis.
Essas práticas simples podem manter você um passo à frente do cibercrime, que vem crescendo de forma constante nos sistemas Android. Seguir essas dicas pode fazer toda a diferença entre ter uma experiência segura ou se expor desnecessariamente a golpes, publicidade invasiva e perda de privacidade.
