Erros, Celular, Notícias

Um bug do WhatsApp permite que arquivos de mídia maliciosos se espalhem por meio de conversas em grupo

por Pieter Arntz | 27 de janeiro, 2026
Fraude de espelhamento de tela do Whatsapp

O WhatsApp está passando por um momento difícil. Alguns usuários argumentariam que isso vem acontecendo desde que a Meta adquiriu a plataforma de mensagens, que antes era amplamente confiável. A opinião dos usuários mudou de “mensageiro padrão confiável” para um produto da Meta necessário, mas relutante.

Os usuários Privacy ainda veem o WhatsApp como uma das plataformas de mensagens mais seguras do mercado de massa, desde que você bloqueie suas configurações. Mesmo assim, muitos continuam desconfortáveis com o ecossistema mais amplo da Meta e gostariam que todos os seus contatos mudassem para uma plataforma mais segura.

De volta aos assuntos atuais, o que só reforçará esse sentimento.

O Project Zero do Google acaba de divulgar uma vulnerabilidade do WhatsApp em que um arquivo de mídia malicioso, enviado para um chat em grupo recém-criado, pode ser baixado automaticamente e usado como um vetor de ataque.

O bug afeta o WhatsApp no Android e envolve downloads de mídia sem cliques em chats em grupo. Você pode ser atacado simplesmente ao ser adicionado a um grupo e receber um arquivo malicioso.

De acordo com o Project Zero, é mais provável que o ataque seja usado em campanhas direcionadas, uma vez que o invasor precisa conhecer ou adivinhar pelo menos um contato. Embora seja direcionado, é relativamente fácil repeti-lo depois que o invasor tem uma lista de alvos prováveis.

E para piorar ainda mais a situação dos concorrentes do WhatsApp, uma preocupação potencialmente ainda mais séria para a popular plataforma de mensagens, um grupo internacional de demandantes processou a Meta Platforms, alegando que o proprietário do WhatsApp pode armazenar, analisar e acessar praticamente todas as comunicações privadas dos usuários, apesar das alegações de criptografia de ponta a ponta do WhatsApp.

Como proteger o WhatsApp

Segundo relatos, a Meta implementou uma alteração no servidor em 11 de novembro de 2025, mas o Google afirma que isso resolveu apenas parcialmente o problema. Portanto, a Meta está trabalhando em uma solução abrangente.

A recomendação do Google é desativar o download automático ou ativarPrivacy Advanced do WhatsApp para que as mídias não sejam baixadas automaticamente para o seu telefone.

E você precisará manter o WhatsApp atualizado para obter os patches mais recentes, o que vale para qualquer aplicativo e para Android .

Desativar o download automático de mídia

Objetivo: garantir que nenhuma foto, vídeo, áudio ou documento seja transferido para o dispositivo sem uma decisão explícita.

  • Abra o WhatsApp no seu Android .
  • Toque no menu de três pontos no canto superior direito e, em seguida, toque em Configurações.
  • Vá para Armazenamento e dados (às vezes chamado de Uso de dados e armazenamento).
  • Em Download automático de mídia, você verá Ao usar dados móveis, quando conectado ao Wi-Fi e quando em roaming.
  • Para cada uma dessas três entradas, toque nela e desmarque todos os tipos de mídia: Fotos, Áudio, Vídeos, Documentos. Em seguida, toque em OK.
  • Confirme se cada categoria agora exibe algo como “Sem mídia” abaixo dela.

Isso implementa diretamente a orientação do Project Zero para “desativar o download automático”, de modo que mídias maliciosas não possam chegar silenciosamente ao seu armazenamento assim que você for colocado em um grupo hostil.

Mesmo que o WhatsApp ainda baixe algum conteúdo, você pode impedir que ele vaze para o armazenamento compartilhado, onde outros aplicativos e componentes do sistema podem vê-lo.

  • Em Configurações, acesse Chats.
  • Desative a visibilidade de mídia (ou opção semelhante, como Mostrar mídia na galeria). Para conversas particularmente confidenciais, abra a conversa, toque no nome do contato ou grupo, localize Visibilidade de mídia e defina como Não para essa conversa.

O WhatsApp é uma área restrita e deve conter a ameaça. Isso significa que manter a mídia dentro do WhatsApp torna mais difícil que um arquivo malicioso seja processado por outros componentes, possivelmente mais vulneráveis.

Bloqueie quem pode adicioná-lo a grupos

A cadeia de ataque exige que o invasor adicione você e um de seus contatos a um novo grupo. Reduzir o número de pessoas que podem fazer isso diminui o risco.

  • Em Configurações, toque em Privacy.
  • Toque em Grupos.
  • Altere de Todos para Meus contatos ou, idealmente, Meus contatos, exceto... e exclua quaisquer números nos quais você não confia totalmente.
  • Se você usa o WhatsApp para o trabalho, considere manter a participação no grupo restrita a contatos conhecidos e administradores aprovados.

Configure a verificação em duas etapas na sua conta do WhatsApp

Leia este guia para Android iOS saber como fazer isso.

Os golpistas sabem mais sobre você do que você imagina. 

Mobile Security Malwarebytes Mobile Security você contra phishing, mensagens de texto fraudulentas, sites maliciosos e muito mais. Com o Scam Guard integrado, alimentado por IA e em tempo real. 

Baixar para iOS Baixar para Android  

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
lembrar senhas

A Microsoft afirma que o comportamento Edgeem relação às senhas em texto simples é “intencional”

Maio 8, 2026

Um pesquisador descobriu que Edge senhas salvas na memória do computador ao iniciar, facilitando o roubo delas caso o dispositivo já esteja comprometido.

Violações de dados
Logotipo em tela

O ShinyHunters intensifica os ataques ao Canvas com desfigurações de páginas de login de escolas

Maio 8, 2026

Dias após o primeiro ataque, o ShinyHunters está pressionando as vítimas com mensagens de resgate nos portais de login das escolas.

IA
sites de notícias falsas levam a golpes de investimento

Rede de fraude envolvendo investimentos em IA abrange 15.500 domínios

Maio 7, 2026

Golpistas especializados em investimentos em IA se valeram da plataforma de rastreamento de anúncios Keitaro para ocultar sua campanha, expondo-a apenas a alvos em potencial.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes