Erros, Celular, Notícias

Um bug do WhatsApp permite que arquivos de mídia maliciosos se espalhem por meio de conversas em grupo

por Pieter Arntz | 27 de janeiro de 2026
Logotipo do aplicativo Whatsapp na tela de um dispositivo.

O WhatsApp está passando por um momento difícil. Alguns usuários argumentariam que isso vem acontecendo desde que a Meta adquiriu a plataforma de mensagens, que antes era amplamente confiável. A opinião dos usuários mudou de “mensageiro padrão confiável” para um produto da Meta necessário, mas relutante.

Os usuários Privacy ainda veem o WhatsApp como uma das plataformas de mensagens mais seguras do mercado de massa, desde que você bloqueie suas configurações. Mesmo assim, muitos continuam desconfortáveis com o ecossistema mais amplo da Meta e gostariam que todos os seus contatos mudassem para uma plataforma mais segura.

De volta aos assuntos atuais, o que só reforçará esse sentimento.

O Project Zero do Google acaba de divulgar uma vulnerabilidade do WhatsApp em que um arquivo de mídia malicioso, enviado para um chat em grupo recém-criado, pode ser baixado automaticamente e usado como um vetor de ataque.

O bug afeta o WhatsApp no Android envolve downloads de mídia sem cliques em chats em grupo. Você pode ser atacado simplesmente ao ser adicionado a um grupo e receber um arquivo malicioso.

De acordo com o Project Zero, é mais provável que o ataque seja usado em campanhas direcionadas, uma vez que o invasor precisa conhecer ou adivinhar pelo menos um contato. Embora seja direcionado, é relativamente fácil repeti-lo depois que o invasor tem uma lista de alvos prováveis.

E para piorar ainda mais a situação dos concorrentes do WhatsApp, uma preocupação potencialmente ainda mais séria para a popular plataforma de mensagens, um grupo internacional de demandantes processou a Meta Platforms, alegando que o proprietário do WhatsApp pode armazenar, analisar e acessar praticamente todas as comunicações privadas dos usuários, apesar das alegações de criptografia de ponta a ponta do WhatsApp.

Como proteger o WhatsApp

Segundo relatos, a Meta implementou uma alteração no servidor em 11 de novembro de 2025, mas o Google afirma que isso resolveu apenas parcialmente o problema. Portanto, a Meta está trabalhando em uma solução abrangente.

A recomendação do Google é desativar o download automático ou ativarPrivacy Advanced do WhatsApp para que as mídias não sejam baixadas automaticamente para o seu celular.

E você precisará manter o WhatsApp atualizado para obter os patches mais recentes, o que vale para qualquer aplicativo e para Android .

Desativar o download automático de mídia

Objetivo: garantir que nenhuma foto, vídeo, áudio ou documento seja transferido para o dispositivo sem uma decisão explícita.

  • Abra o WhatsApp no seu Android .
  • Toque no menu de três pontos no canto superior direito e, em seguida, toque em Configurações.
  • Vá para Armazenamento e dados (às vezes chamado de Uso de dados e armazenamento).
  • Em Download automático de mídia, você verá Ao usar dados móveis, quando conectado ao Wi-Fi e quando em roaming.
  • Para cada uma dessas três entradas, toque nela e desmarque todos os tipos de mídia: Fotos, Áudio, Vídeos, Documentos. Em seguida, toque em OK.
  • Confirme se cada categoria agora exibe algo como “Sem mídia” abaixo dela.

Isso implementa diretamente a orientação do Project Zero para “desativar o download automático”, de modo que mídias maliciosas não possam chegar silenciosamente ao seu armazenamento assim que você for colocado em um grupo hostil.

Mesmo que o WhatsApp ainda baixe algum conteúdo, você pode impedir que ele vaze para o armazenamento compartilhado, onde outros aplicativos e componentes do sistema podem vê-lo.

  • Em Configurações, acesse Chats.
  • Desative a visibilidade de mídia (ou opção semelhante, como Mostrar mídia na galeria). Para conversas particularmente confidenciais, abra a conversa, toque no nome do contato ou grupo, localize Visibilidade de mídia e defina como Não para essa conversa.

O WhatsApp é uma área restrita e deve conter a ameaça. Isso significa que manter a mídia dentro do WhatsApp torna mais difícil que um arquivo malicioso seja processado por outros componentes, possivelmente mais vulneráveis.

Bloqueie quem pode adicioná-lo a grupos

A cadeia de ataque exige que o invasor adicione você e um de seus contatos a um novo grupo. Reduzir o número de pessoas que podem fazer isso diminui o risco.

  • Em Configurações, toque em Privacy.
  • Toque em Grupos.
  • Altere de Todos para Meus contatos ou, idealmente, Meus contatos, exceto... e exclua quaisquer números nos quais você não confia totalmente.
  • Se você usa o WhatsApp para o trabalho, considere manter a participação no grupo restrita a contatos conhecidos e administradores aprovados.

Configure a verificação em duas etapas na sua conta do WhatsApp

Leia este guia para Android iOS saber como fazer isso.

Não nos limitamos a informar sobre segurança telefônica - nós a fornecemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos móveis fazendo o download Malwarebytes para iOS e Malwarebytes para Android hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

IA
Uma mão se abaixa para pegar um asterisco de uma senha escrita.

As senhas geradas por IA são um risco à segurança

Fevereiro 19, 2026

As senhas geradas por IA são “altamente previsíveis” e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem quebradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

Fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logotipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

Fevereiro 18, 2026

Essa violação agora parece muito mais grave. Os dados vazados incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes