Android Trojan MagicAd: O Cavalo de Troia que Contorna Restrições de Publicidade em Segundo Plano
Um novo trojan para Android, o MagicAd, foi descoberto contornando as defesas do sistema operacional para exibir anúncios mesmo quando os aplicativos infectados estão em segundo plano. Distribuído através de lojas de aplicativos oficiais, o malware utiliza técnicas sofisticadas para manter sua operação discreta e exibir publicidade invasiva.
MundiX News·09 de junho de 2026·4 min de leitura·👁 8 views
Analistas da empresa "Doctor Web" descobriram o trojan Android.MagicAd, que contorna os mecanismos de proteção do Android e exibe anúncios mesmo quando o aplicativo infectado está operando em segundo plano. O malware foi distribuído através do catálogo oficial da Xiaomi, GetApps (em mais de 50 jogos e aplicativos), e também foi encontrado na Samsung Galaxy Store. É notável que os aplicativos infectados raramente permaneciam nas lojas oficiais por mais de um mês. No entanto, após a remoção de alguns aplicativos, novos com o mesmo malware apareciam na loja. Provavelmente, os operadores do malware buscavam assim permanecer despercebidos pelo maior tempo possível.
De acordo com os pesquisadores, as primeiras versões deste trojan surgiram em 2025, e para contornar a proteção do Android, o malware utiliza várias técnicas simultaneamente, algumas projetadas para dispositivos de fabricantes específicos, e uma que funciona em praticamente qualquer dispositivo. Algumas funções do MagicAd estão ocultas dentro de bibliotecas nativas criptografadas. Durante a operação, o trojan as descriptografa, extrai os módulos necessários e os executa na memória do dispositivo. Antes da ativação, o malware verifica o ambiente, tentando determinar se não está operando em um ambiente virtual, além de analisar o método de instalação do aplicativo, verificar o endereço IP da vítima e realizar uma série de outros testes. Se nada suspeito for detectado, o malware oculta seu ícone do menu de aplicativos e inicia um conjunto de serviços responsáveis pela operação contínua em segundo plano.
Para manter a atividade, o trojan utiliza o canal de notificações e o agendador de tarefas do Android, que reinicia regularmente seus componentes. Em versões mais antigas do SO, ele até cria uma tela virtual para que o sistema não interrompa a operação de módulos individuais. Como mencionado anteriormente, a principal tarefa do malware é a exibição de anúncios, que é realizada sobre outras janelas sem obter a permissão SYSTEM_ALERT_WINDOW, geralmente necessária para tais ações. Todos os anúncios são carregados como atividades semitransparentes (Translucent Activity), o que permite exibi-los sobre aplicativos já abertos. Para contornar as restrições do Android, o malware abusa do mecanismo de intenções (Intent) direcionadas a outros aplicativos. Assim, em dispositivos Xiaomi, o trojan interage com os componentes do sistema Mi Browser e Miui SystemUI, e em dispositivos Amazon TV, utiliza o launcher Amazon Fire TV Home Screen. Através desses aplicativos, o malware pode iniciar seus próprios módulos de publicidade e forçar os programas do sistema a exibir banners. Para dispositivos Vivo, um esquema separado é previsto. Neste caso, o trojan utiliza o Android Binder (componente do sistema que garante a interação entre processos) e tem como alvo os aplicativos do sistema iManager, agenda de contatos, Vivo Browser e Baidu IME Customized, que também ajudam a exibir o componente malicioso em segundo plano e mostrar anúncios.
No entanto, os pesquisadores consideram a técnica de ataque universal, que funciona na maioria dos dispositivos Android, a mais interessante. Para isso, o MagicAd utiliza o reprodutor de mídia do sistema. O malware salva um arquivo de áudio especial no dispositivo, inicia sua própria instância do player, define o volume mínimo e o associa ao sistema global de gerenciamento de multimídia no Android. Para iniciar a publicidade, o malware instala um receptor de broadcast que monitora os cliques neste player. Em seguida, usando um comando adb, o malware simula o pressionamento do botão de gravação e, em seguida, fecha a janela do player. Essa ação leva à ativação do receptor de mídia, através do qual o trojan obtém controle e pode iniciar a publicidade. Os pesquisadores observam que, no momento da publicação do relatório, nenhum dos aplicativos maliciosos estava mais disponível para download através do GetApps.
Analistas da empresa "Doctor Web" descobriram o trojan Android.MagicAd, que contorna os mecanismos de proteção do Android e exibe anúncios mesmo quando o aplicativo infectado está operando em segundo plano. O malware foi distribuído através do catálogo oficial da Xiaomi, GetApps (em mais de 50 jogos e aplicativos), e também foi encontrado na Samsung Galaxy Store. É notável que os aplicativos infectados raramente permaneciam nas lojas oficiais por mais de um mês. No entanto, após a remoção de alguns aplicativos, novos com o mesmo malware apareciam na loja. Provavelmente, os operadores do malware buscavam assim permanecer despercebidos pelo maior tempo possível.
De acordo com os pesquisadores, as primeiras versões deste trojan surgiram em 2025, e para contornar a proteção do Android, o malware utiliza várias técnicas simultaneamente, algumas projetadas para dispositivos de fabricantes específicos, e uma que funciona em praticamente qualquer dispositivo. Algumas funções do MagicAd estão ocultas dentro de bibliotecas nativas criptografadas. Durante a operação, o trojan as descriptografa, extrai os módulos necessários e os executa na memória do dispositivo. Antes da ativação, o malware verifica o ambiente, tentando determinar se não está operando em um ambiente virtual, além de analisar o método de instalação do aplicativo, verificar o endereço IP da vítima e realizar uma série de outros testes. Se nada suspeito for detectado, o malware oculta seu ícone do menu de aplicativos e inicia um conjunto de serviços responsáveis pela operação contínua em segundo plano.
Para manter a atividade, o trojan utiliza o canal de notificações e o agendador de tarefas do Android, que reinicia regularmente seus componentes. Em versões mais antigas do SO, ele até cria uma tela virtual para que o sistema não interrompa a operação de módulos individuais. Como mencionado anteriormente, a principal tarefa do malware é a exibição de anúncios, que é realizada sobre outras janelas sem obter a permissão SYSTEM_ALERT_WINDOW, geralmente necessária para tais ações. Todos os anúncios são carregados como atividades semitransparentes (Translucent Activity), o que permite exibi-los sobre aplicativos já abertos. Para contornar as restrições do Android, o malware abusa do mecanismo de intenções (Intent) direcionadas a outros aplicativos. Assim, em dispositivos Xiaomi, o trojan interage com os componentes do sistema Mi Browser e Miui SystemUI, e em dispositivos Amazon TV, utiliza o launcher Amazon Fire TV Home Screen. Através desses aplicativos, o malware pode iniciar seus próprios módulos de publicidade e forçar os programas do sistema a exibir banners. Para dispositivos Vivo, um esquema separado é previsto. Neste caso, o trojan utiliza o Android Binder (componente do sistema que garante a interação entre processos) e tem como alvo os aplicativos do sistema iManager, agenda de contatos, Vivo Browser e Baidu IME Customized, que também ajudam a exibir o componente malicioso em segundo plano e mostrar anúncios.
No entanto, os pesquisadores consideram a técnica de ataque universal, que funciona na maioria dos dispositivos Android, a mais interessante. Para isso, o MagicAd utiliza o reprodutor de mídia do sistema. O malware salva um arquivo de áudio especial no dispositivo, inicia sua própria instância do player, define o volume mínimo e o associa ao sistema global de gerenciamento de multimídia no Android. Para iniciar a publicidade, o malware instala um receptor de broadcast que monitora os cliques neste player. Em seguida, usando um comando adb, o malware simula o pressionamento do botão de gravação e, em seguida, fecha a janela do player. Essa ação leva à ativação do receptor de mídia, através do qual o trojan obtém controle e pode iniciar a publicidade. Os pesquisadores observam que, no momento da publicação do relatório, nenhum dos aplicativos maliciosos estava mais disponível para download através do GetApps.
