Erros, Celular, Notícias

Um bug no WhatsApp permite que ficheiros de mídia maliciosos se espalhem por conversas em grupo

por Pieter Arntz | 27 de janeiro, 2026
Fraude de espelhamento de ecrã do Whatsapp

O WhatsApp está a passar por um momento difícil. Alguns utilizadores diriam que isso vem acontecendo desde que a Meta adquiriu a plataforma de mensagens, que antes era amplamente confiável. A opinião dos utilizadores mudou de «mensageiro padrão confiável» para um produto da Meta necessário, mas mal-quisto.

Os utilizadores Privacy ainda veem o WhatsApp como uma das plataformas de mensagens mais seguras do mercado de massa, se você bloquear as suas configurações. Mesmo assim, muitos continuam desconfortáveis com o ecossistema mais amplo da Meta e gostariam que todos os seus contactos mudassem para uma plataforma mais segura.

De volta aos assuntos atuais, o que só reforçará esse sentimento.

O Project Zero do Google acaba de divulgar uma vulnerabilidade do WhatsApp em que um ficheiro de mídia malicioso, enviado para um chat em grupo recém-criado, pode ser baixado automaticamente e usado como um vetor de ataque.

O bug afeta o WhatsApp no Android e envolve downloads de mídia sem cliques em conversas em grupo. Você pode ser atacado simplesmente por ser adicionado a um grupo e receber um ficheiro malicioso.

De acordo com o Project Zero, é mais provável que o ataque seja usado em campanhas direcionadas, uma vez que o invasor precisa conhecer ou adivinhar pelo menos um contacto. Embora seja focado, é relativamente fácil repeti-lo depois que o invasor tem uma lista de alvos prováveis.

E para piorar ainda mais a situação dos concorrentes do WhatsApp, uma preocupação potencialmente ainda mais séria para a popular plataforma de mensagens, um grupo internacional de demandantes processou a Meta Platforms, alegando que o proprietário do WhatsApp pode armazenar, analisar e aceder praticamente todas as comunicações privadas dos utilizadores, apesar das alegações de criptografia de ponta a ponta do WhatsApp.

Como proteger o WhatsApp

Segundo consta, a Meta implementou uma alteração no servidor em 11 de novembro de 2025, mas o Google afirma que isso resolveu apenas parcialmente o problema. Por isso, a Meta está a trabalhar numa correção abrangente.

A recomendação do Google é desativar o Download Automático ou ativarPrivacy Advanced do WhatsApp para que as mídias não sejam baixadas automaticamente para o seu telemóvel.

E você precisará manter o WhatsApp atualizado para obter os patches mais recentes, o que vale para qualquer aplicativo e para Android .

Desativar o download automático de multimédia

Objetivo: garantir que nenhuma foto, vídeo, áudio ou documento seja transferido para o dispositivo sem uma decisão explícita.

  • Abra o WhatsApp no seu Android .
  • Toque no menu de três pontos no canto superior direito e, em seguida, toque em Definições.
  • Vá para Armazenamento e dados (por vezes denominado Utilização de dados e armazenamento).
  • Em Transferência automática de multimédia, verá Ao utilizar dados móveis, quando estiver ligado ao Wi-Fi e em roaming.
  • Para cada uma destas três entradas, toque e desmarque todos os tipos de mídia: Fotos, Áudio, Vídeos, Documentos. Em seguida, toque em OK.
  • Confirme se cada categoria agora mostra algo como «Sem mídia» abaixo dela.

Isso implementa diretamente a orientação do Project Zero de «desativar o download automático», para que mídias maliciosas não possam chegar silenciosamente ao seu armazenamento assim que você for colocado em um grupo hostil.

Mesmo que o WhatsApp ainda faça o download de algum conteúdo, você pode impedir que ele vaze para o armazenamento partilhado, onde outros aplicativos e componentes do sistema podem vê-lo.

  • Em Definições, aceda a Conversas.
  • Desative a visibilidade de multimédia (ou opção semelhante, como Mostrar multimédia na galeria). Para conversas particularmente sensíveis, abra a conversa, toque no nome do contacto ou grupo, localize Visibilidade de multimédia e defina-a como Não para essa conversa.

O WhatsApp é uma área restrita e deve conter a ameaça. Isso significa que manter os ficheiros multimédia dentro do WhatsApp torna mais difícil que um ficheiro malicioso seja processado por outros componentes, possivelmente mais vulneráveis.

Bloqueie quem pode adicioná-lo a grupos

A cadeia de ataque exige que o invasor adicione você e um dos seus contactos a um novo grupo. Reduzir o número de pessoas que podem fazer isso diminui o risco.

  • Em Definições, toque em Privacy.
  • Toque em Grupos.
  • Altere de Todos para Os meus contactos ou, idealmente, Os meus contactos, exceto... e exclua quaisquer números em que não confie totalmente.
  • Se utiliza o WhatsApp para o trabalho, considere manter a adesão ao grupo restrita a contactos conhecidos e administradores aprovados.

Configure a verificação em duas etapas na sua conta do WhatsApp

Leia este guia para Android iOS saber como fazer isso.

Os burlões sabem mais sobre si do que pensa. 

Mobile Security Malwarebytes Mobile Security contra phishing, mensagens fraudulentas, sites maliciosos e muito mais. Com o Scam Guard integrado, alimentado por IA e em tempo real. 

Descarregar para iOS Descarregar para Android  

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
lembrar senhas

A Microsoft afirma que o comportamento Edgeem relação às palavras-passe em texto simples é «intencional»

maio 8, 2026

Um investigador descobriu que Edge as palavras-passe guardadas na memória do computador quando é iniciado, o que facilita o seu roubo caso o dispositivo já esteja comprometido.

Violações de dados
Logótipo em tela

O ShinyHunters intensifica os ataques ao Canvas com alterações maliciosas nas páginas de login das escolas

maio 8, 2026

Dias após o primeiro ataque, o ShinyHunters está a exercer pressão através de mensagens de resgate nos portais de acesso das escolas.

IA
sites de notícias falsas levam a golpes de investimento

Rede de fraude em grande escala relacionada com investimentos em IA abrange 15 500 domínios

maio 7, 2026

Os autores de esquemas fraudulentos relacionados com investimentos em IA utilizaram indevidamente a plataforma de monitorização de anúncios Keitaro para ocultar a sua campanha, expondo-a apenas a alvos potenciais.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes