Fraudes

O FriendlyDealer imita as lojas de aplicações oficiais para promover aplicações de jogos de azar não verificadas

por Stefan Dasic | 23 de março de 2026
Aplicação de casino

Identificámos uma enorme campanha de engenharia social destinada a direcionar as pessoas para sites de jogos de azar online, levando-as a acreditar que estão a instalar uma aplicação legítima.

Chamamos-lhe FriendlyDealer. Foi detetado em pelo menos 1 500 domínios, cada um dos quais aloja um site que se faz passar pelo Google Play ou pela Apple App Store. Os utilizadores pensam que estão a descarregar uma aplicação de jogos de azar de uma fonte fiável, com todas as verificações, avaliações e medidas de segurança que isso implica. Mas, na realidade, continuam num site, a instalar uma aplicação web que, posteriormente, os redireciona para ofertas de casinos através de links de afiliados.

A campanha não rouba palavras-passe nem instala malware tradicional. Em vez disso, gera receitas através de comissões sempre que alguém se regista ou deposita dinheiro num desses sites.

Isso pode parecer menos grave do que um trojan bancário, mas o resultado final é que as pessoas são direcionadas para sites de jogos de azar não regulamentados, sem verificação de idade, sem limites de depósito e sem proteções ao consumidor. E isto acontece numa altura em que o vício do jogo está a ser considerado a explosão mais rápida do jogo que o país já viu. 

Um kit, dezenas de aplicações, concebido para imitar as lojas de aplicações reais

O FriendlyDealer foi concebido como um kit único e reutilizável, capaz de gerar inúmeras listagens falsas de aplicações.

O kit deteta o dispositivo que está a utilizar e apresenta uma loja falsa diferente de acordo com isso. Android veem uma Google Play Store falsa. Os utilizadores de iPhone veem uma Apple App Store falsa. O kit carrega até as fontes de sistema corretas para cada plataforma (Google Sans no Android, San Francisco no iOS), para que a tipografia corresponda ao que esperaria ver no seu próprio telemóvel.

  • Página falsa da App Store da Apple: BEAST GAMES: ICE FISHING, de Mr. Beast
    Página falsa da App Store da Apple: BEAST GAMES: ICE FISHING, de Mr. Beast
  • Página falsa da App Store da Apple: Euro Win
    Página falsa da App Store da Apple: Euro Win

Na verdade, trata-se de uma única aplicação web que lê todo o seu conteúdo a partir de um ficheiro de configuração incorporado na página. Basta alterar esse ficheiro para obter uma lista de aplicações completamente diferente a funcionar com o mesmo código.

Os operadores têm usado isto para lançar pelo menos vinte marcas de casino, desde«Tower Rush»(189 implementações) a«Chicken Road»(97) e«BEAST GAMES: ICE FISHING»(43), que se faz passar YouTube MrBeast. (Vale a pena referir que algumas versões reutilizam os nomes de marcas de jogo legítimas, mas nenhuma delas está afiliada a esta operação.)

As avaliações são falsas. Várias aplicações reutilizam nomes de utilizador, fotos de perfil, textos e respostas dos programadores idênticos, que se repetem em várias marcas. Antes de mostrar a loja falsa, o kit também pode apresentar um minijogo simples de casino para aumentar o envolvimento.

O falso botão «Instalar» no Android a uma Chrome que só funciona em dispositivos móveis. Esta funcionalidade capta o aviso de instalação Chromee aciona-o quando se toca no botão, fazendo com que apareça uma caixa de diálogo de instalação real. O aviso habitual sobre a instalação de aplicações de fontes desconhecidas não aparece. Estudos anteriores demonstraram que as aplicações instaladas desta forma podem até exibir a mensagem «Instalado a partir da Google Play Store» nas definições do telemóvel.

O código faz tudo o que está ao seu alcance para o direcionar para o navegador certo. Se chegar através de um Instagram Facebook Instagram , estará no navegador integrado dessas aplicações, que não consegue iniciar a instalação. No Android, o kit gera um link especial que força a página a reabrir no Chrome. No iOS, faz o mesmo, mas para o Safari. Se Chrome instalado, o mecanismo de fallback redireciona-o para a Play Store oficial para que o possa descarregar. Existe até um manipulador separado para o navegador da Samsung. A engenharia específica para cada navegador é invulgarmente detalhada.

A página desativa o zoom, dificultando uma análise detalhada. O kit atribui um ID de rastreamento por utilizador e reutiliza-o nos fluxos de análise, eventos, registo de notificações push e encaminhamento de ofertas.

  • Página falsa do Google Play: BEAST GAMES: ICE FISHING, de Mr. Beast
    Página falsa do Google Play: BEAST GAMES: ICE FISHING, de Mr. Beast
  • Chicken Road, do Valor Casino
    Página falsa do Google Play: Chicken Road, da Valor Casino
  • Gates of Olympus do Casino
    Página falsa do Google Play: Gates of Olympus da Casino
  • Tower Rush da ELK Studios
    Página falsa do Google Play: Tower Rush da ELK Studios
  • Tower Rush da Galaxsys
    Página falsa da Google Play: Tower Rush da Galaxsys
  • Morospin da Morospin Inc.
    Página falsa da Google Play: Morospin da Morospin Inc.
  • Casino Mexico, da Casino Mexico LLC
    Página falsa do Google Play: Casino Mexico, da Casino Mexico LLC
  • Slots Revolut da RevGameDev
    Página falsa da Google Play: Revolut Slots da RevGameDev

O kit está preparado para publicidade paga. A configuração inclui espaços vagos para pixels de rastreamento de quatro plataformas publicitárias: Google, Yandex, Facebook e TikTok. A aplicação e o script em segundo plano podem reencaminhar identificadores de anúncios Facebook(_fbc / _fbp) quando esses valores estiverem disponíveis. O código faz referência a campos de telemetria do Yandex e inclui comentários e strings de depuração em russo, o que é consistente com um contexto de desenvolvimento de língua russa, embora esses elementos também possam ter sido herdados de um kit reutilizado ou adquirido.

O processo é simples: comprar tráfego publicitário, identificar o dispositivo, apresentar uma loja de aplicações falsa, simular uma instalação que pareça verdadeira e redirecionar para um casino através de um link de afiliado. 

Não estás a instalar uma aplicação 

Quando um utilizador toca em «Instalar», a página não descarrega realmente uma aplicação. Em vez disso, o navegador cria o que se denomina uma Progressive Web App (PWA). Trata-se, essencialmente, de um site que se comporta como uma aplicação, com o seu próprio ícone no ecrã inicial e a sua própria tela de boas-vindas. Para a maioria das pessoas, é impossível distingui-la de uma aplicação verdadeira.

Depois de instalada, a aplicação pode continuar a funcionar em segundo plano utilizando funcionalidades do navegador denominadas «service workers» (mantendo uma ligação permanente ao seu dispositivo). Os exemplos incluem o «worker» principal da PWA e o código para registar um «worker» de notificações push separado (para lhe enviar notificações) quando ativado. 

O kit também sabe quando já o instalaste. Verifica se o teu dispositivo tem a sua própria PWA e, se a encontrar, ignora completamente a loja falsa e direciona-te diretamente para o casino. 

Um domínio une tudo

Cada implementação do FriendlyDealer estabelece ligação com o mesmo domínio: ihavefriendseverywhere[.]xyz. Este é o servidor de recolha de dados da campanha e o nome que inspirou o nome de referência que atribuímos à operação. 

O script em segundo plano e o código da aplicação enviam dados de telemetria para este domínio, incluindo o idioma do navegador, o fuso horário, os dados do agente do utilizador, sugestões opcionais do agente do utilizador, identificadores de campanha e identificadores de anúncios, quando esses valores estiverem disponíveis. Grande parte destes dados é enviada através de cabeçalhos de pedido personalizados.

Algumas solicitações utilizam o método HEAD para serem mais leves.

O código da aplicação também envia algo que o script em segundo plano não envia: relatórios de erros de JavaScript. Cada falha, cada carregamento de recurso com falha, cada exceção não tratada que ocorra no dispositivo da vítima é capturada, agrupada num objeto de erro estruturado com um registo temporal e contexto, e enviada para ihavefriendseverywhere[.]xyz/api/log_standard_err. Na verdade, os operadores estão a recolher tanto dados dos utilizadores como dados de telemetria relativos a erros de produção a partir de dispositivos reais.

Se um pedido falhar (por exemplo, devido a um sinal fraco), o script em segundo plano armazena-o localmente e volta a tentar mais tarde. Assim que a ligação for restabelecida, os dados são enviados automaticamente.

A aplicação falsa também solicita permissão para enviar notificações. Se o utilizador conceder essa permissão, o kit pode registar uma subscrição de notificações push e criar um canal direto para notificações futuras. Estas aparecem como notificações normais da aplicação, proporcionando aos operadores uma linha direta de contacto com o utilizador, mesmo depois de a aplicação ter sido fechada.

Siga o dinheiro: comissões de afiliados, não malware 

O FriendlyDealer não espalha vírus nem toma o controlo dos dispositivos. Todo o seu funcionamento baseia-se emcomissões de afiliados. Cada página falsa da loja de aplicações contém um redirecionamento oculto para uma rede de rastreamento de afiliados. Quando um utilizador se regista ou deposita dinheiro, o operador recebe uma comissão.

Encontrámos várias redes de rastreamento de afiliados no código. Um ID por utilizador está presente na lógica de análise, eventos, notificações push e encaminhamento de ofertas do kit, permitindo correlacionar a atividade ao longo de várias etapas do funil. 

Este modelo explica a enorme dimensão da campanha. Cada domínio é descartável. O kit funciona como um modelo; basta alterar um ficheiro de configuração para criar uma nova marca de casino num novo domínio em poucos minutos. Com os pagamentos aos afiliados de jogos de azar a variarem, segundo relatos, entre 50 e 400 dólares por utilizador que efetue um depósito, mesmo uma taxa de conversão reduzida em mil domínios resulta num valor significativo em pouco tempo. 

Quem está por trás disto? 

Não podemos atribuir a campanha a um grupo específico, mas há pistas. O código-fonte contém comentários em russo (por exemplo,«Создаем таймер для измерения времени загрузки Vue»). Uma das compilações foi lançada com strings de depuração em russo não removidas, que foram eliminadas da versão de produção. O código integra-se com o Yandex Metrica, que é popular na Rússia e nos antigos estados soviéticos.

Isto aponta para um contexto de desenvolvimento em língua russa, embora o código possa ter sido reutilizado ou adquirido.

O código também contém tags de marketing de afiliados — preland-alias e preland-final-action —, sendo que um «pre-lander» é a página que o visitante vê antes da oferta propriamente dita. O código da aplicação mostra que esta tag controla o comportamento do kit: um valor de 0 aciona a instalação de uma PWA, enquanto 1 redireciona para uma loja de aplicações. Em combinação com slots de pixels de anúncios plug-and-play, configuração por implementação e lógica de staging/produção, isto sugere fortemente um kit reutilizável construído para múltiplas campanhas ou operadores, e não um projeto pontual.

Encontrámos várias compilações do mesmo kit. A versão de produção tem as mensagens de depuração removidas, mas outras compilações incluem mensagens de erro completas em russo e suporte para algarismos arábicos em toda a interface — contagens de downloads, classificações, datas das avaliações e muito mais. Isto não parece ser um kit concebido para um único mercado; parece ter sido projetado para suportar variantes regionais já na fase de compilação.

Um truque conhecido com um resultado diferente 

As páginas falsas de lojas de aplicações são uma técnica conhecida, frequentemente utilizada para roubar credenciais bancárias ou instalar spyware. O FriendlyDealer segue o mesmo esquema: uma loja falsa convincente e um processo de instalação com aspeto realista, mas com um objetivo diferente. Não toma o controlo do seu telemóvel nem rouba as suas palavras-passe. Em vez disso, direciona-o para plataformas de jogo e ganha uma comissão quando gasta dinheiro.

O prejuízo é financeiro e não técnico: as vítimas são direcionadas para ofertas de jogos de azar através de processos de instalação e redirecionamento enganosos, podendo acabar por depositar dinheiro em sites que não escolheram intencionalmente. 

É também um lembrete de que nem todos os esquemas fraudulentos têm como alvo as suas palavras-passe. A fraude de afiliados, especialmente no jogo online, pode financiar operações de enorme dimensão sem nunca ter de recorrer a uma única credencial. Os responsáveis por isto criaram uma verdadeira fábrica: um modelo, vinte marcas, mais de 1 500 domínios. Os anúncios pagos atraem o tráfego. As lojas de aplicações falsas fecham o negócio. A rede de afiliados paga as contas. 

O que torna este método eficaz é o facto de se aproveitar de funcionalidades que se supõe serem fiáveis. O processo de instalação de aplicações Chromeno Android a opção «Adicionar ao ecrã inicial» do Safari no iPhone são ambas funcionalidades legítimas, que cumprem a função para a qual foram concebidas. O problema é que a página que desencadeia a instalação é uma fraude. O kit foi cuidadosamente concebido para que apenas os utilizadores certos, nos dispositivos certos e provenientes dos anúncios certos, o vejam. 

O que fazer se tiver instalado uma destas aplicações 

No Android: 

  • Remova a aplicação: mantenha premido o ícone e toque em Desinstalar, ou aceda a Definições > Aplicações e remova tudo o que não reconhecer.
  • Limpar os dados do site no Chrome: A aplicação pode deixar dados no seu navegador. Abra Chrome Definições > Definições do site > Todos os sites, localize o site e toque em Limpar e repor.
  • Verifique as permissões de notificação: vá a Chrome Definições > Notificações e remova quaisquer sites que não reconheça. Desinstalar a aplicação não retira o acesso às notificações.
  • Verifique outros navegadores: se utilizar Edge, o Brave ou outro navegador baseado no Chromium, repita os mesmos passos nesses navegadores.

No iPhone: 

  • Remover a aplicação: mantenha premido o ícone da aplicação no ecrã inicial e toque em «Remover aplicação». No iOS, as PWAs não instalam um script em segundo plano como acontece no Android, pelo que a remoção do ícone também elimina os dados do site armazenados em cache. 
  • Limpar os dados do site no Safari: Vá a Definições > Safari > Advanced > Dados do site e procure o domínio. Deslize para o eliminar. Isto limpa quaisquer cookies e dados armazenados restantes. 
  • Verifique as permissões de notificações: Vá a Definições > Aplicações > Safari. Deslize até à secção «Definições para sites » e toque em «Notificações». Encontre o site e remova ou recuse o acesso.

Se efetuou um depósito após ter sido redirecionado para uma destas páginas e considera que foi vítima de uma fraude, contacte imediatamente o seu banco ou prestador de serviços de pagamento. 

Indicadores de Compromisso (IOCs) 

Domínios 

  • ihavefriendseverywhere[.]xyz—Servidor de exfiltração de dados e registo de erros 
  • valor[.]bet—URL do portal/ponto de controlo (caminho /__pwa_gate) 
  • wikis[.]lifestyle—Referência a um domínio fixada no código da aplicação 

Não nos limitamos a informar sobre a segurança dos telemóveis - fornecemo-la

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos móveis descarregando hoje mesmo Malwarebytes para iOS e Malwarebytes para Android.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Telemóvel
Logótipo Android

Advanced tornará Android mais segura

março 23, 2026

Advanced novo Advanced do Google visa tornar a instalação de aplicações não oficiais mais segura no Android retardando as instalações motivadas por fraudes.

Notícias
semana da segurança

Uma semana no mundo da segurança (16 a 22 de março)

março 23, 2026

Uma lista dos temas que abordámos na semana de 16 a 22 de março de 2026

Podcast
Um cadeado ilustrado é montado num suporte de microfone com ondas sonoras emitidas pelo dispositivo.

É tudo o que é preciso para parar um comboio (Lock and Code, 7.ª temporada, episódio 6)

março 22, 2026

Esta semana, no podcast «Lock and Code», conversamos com Rachel Swan sobre os problemas simples na rede que estão a causar grandes interrupções no serviço ferroviário na Baía.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes