Quando você está usando seu smartphone e repentinamente recebe um SMS dizendo que 4 ou 5 reais foram descontados dos seus créditos ou da sua conta telefônica, é sinal de que há algo errado. Esse algo errado pode ser um trojan para Android, que envia SMS para números pagos. Conhecido como Trojan-SMS.AndroidOS.FakeInst.ef, ele ataca usuários de 66 países, incluindo o Brasil.

A praga foi inicialmente descoberta pela Kaspersky em fevereiro de 2013, mas o FakeInst só era capaz de enviar mensagens de texto para números da Rússia. Desde então, apareceram 14 variantes, sendo que as mais recentes conseguem causar prejuízos a usuários de países como Estados Unidos, Alemanha, França, Argentina e Brasil. De acordo com a Kaspersky, trata-se do primeiro trojan SMS ativo nos Estados Unidos que se tem conhecimento.

Ver p0rn no smartphone pode não ser uma boa ideia

Ver p0rn no smartphone pode não ser uma boa ideia

Para enganar o usuário, o trojan se passa por um aplicativo que dá acesso a vídeos pornográficos. O software pergunta se o usuário aceita enviar um SMS para comprar conteúdo pago, mas depois carrega um site de acesso gratuito. Usuários norte-americanos são surpreendidos com três mensagens enviadas para números pagos, que custam 2 dólares cada. O trojan é capaz de roubar, apagar ou responder novas mensagens recebidas pelo usuário.

A Kaspersky diz que o FakeInst pode enviar 3.085 mensagens diferentes, normalmente para números de concursos e promoções. No caso do Brasil, são aqueles números curtos de cinco dígitos, os tais números premium, que possuem tarifas diferenciadas — sabe aquelas propagandas para baixar joguinho no celular, que aparecem a todo instante nos comerciais de TV?

Trojans SMS no Brasil não são novidade: no final de 2012, o especialista em segurança Fabio Assolini, também da Kaspersky, divulgou detalhes de um aplicativo malicioso para Android que causava prejuízo aos brasileiros. Conhecido como Boxer, o trojan enviava silenciosamente um SMS para o número 44844, gerando um custo de R$ 4,99.

A recomendação, claro, é verificar as permissões de um aplicativo antes de instalá-lo no Android. Se você instalou um joguinho qualquer que necessita de autorização para enviar SMS, é bom desconfiar.