Novo malware MagicAd para Android inunda dispositivos com anúncios e ignora restrições

O malware MagicAd para Android, identificado pela primeira vez em 2025 e com relatórios atualizados até junho de 2026 (Doctor Web, 9/6/2026), é um trojan altamente sofisticado que evita detecção por meio de criptografia dinâmica de código .dex em bibliotecas nativas, execução condicional após verificações ambientais (máquinas virtuais, IP blacklist, instalação orgânica) e exploração de APIs específicas de fabricantes. Ele foi distribuído em mais de 50 jogos e apps de utilidade modificados nas lojas oficiais da Xiaomi (GetApps), Samsung Galaxy Store e Amazon Appstore — permanecendo ativos por cerca de 30 dias antes de serem substituídos, o que dificultou a contenção em larga escala.

Em vez de depender da permissão SYSTEM_ALERT_WINDOW, o MagicAd exibe banners publicitários como 'Atividades Translúcidas' sobre apps legítimos, usando Intents diretos para sequestrar componentes do sistema: Mi Browser e Miui SystemUI em dispositivos Xiaomi, tela inicial do Amazon Fire TV, iManager e Vivo Browser em smartphones Vivo (via Android Binder e contêineres Parcel). Uma técnica universal envolve o abuso do reprodutor de mídia do sistema — descriptografando um arquivo de áudio, simulando pressão de botão de gravação para ativar o receptor de mídia e injetar a atividade de anúncio, sem necessidade de permissões visíveis ao usuário.

O MagicAd representa uma ameaça crítica à segurança da cadeia de suprimentos de aplicativos Android, pois viola a confiança nas lojas oficiais — não apenas em marketplaces terceirizadas, mas em canais verificados como GetApps (Xiaomi) e Galaxy Store (Samsung). Sua persistência via agendador de tarefas e telas virtuais (em versões antigas do Android), somada à capacidade de operar sem permissões explícitas, torna-o particularmente difícil de detectar por usuários comuns e até por algumas soluções antimalware leves. Além do impacto na experiência do usuário (anúncios intrusivos, bateria drenada, lentidão), há risco indireto de coleta de dados comportamentais e redirecionamento para phishing, já que o controle sobre componentes do sistema permite interceptação de interações.

Para desenvolvedores Android, o MagicAd evidencia falhas críticas no modelo de permissões e na fragmentação de APIs de fabricantes: sua exploração bem-sucedida de Intents não documentados, Binder em apps Vivo e mecanismos de mídia do sistema revela que práticas de segurança defensiva — como validação rigorosa de origem de Intents, uso de android:exported="false" em components sensíveis e restrição de IntentFilter — são ainda mais essenciais. A técnica de 'atividade translúcida' também destaca a urgência de adotar android:windowIsTranslucent="false" em layouts suscetíveis e validar chamadas de mídia com MediaSession robusto. Atualizações para Android 14+ ajudam, pois limitam acesso a Intents de sistema e restringem o uso de startActivityInPackage() sem autorização explícita — mas apps ainda em manutenção para Android 11–13 permanecem vulneráveis ao MagicAd e variantes similares.