maquiave.pt

Apps perigosas no telemóvel: como proteger os seus dados bancários

Pessoa a usar telemóvel para gerir segurança digital, com cartão de crédito e cadeado na mesa de madeira.

O Instagram, um jogo, aquela app aleatória de lanterna que instalou há três anos. O terminal apita, o cartão falha uma vez e, à segunda, passa. Encolhe os ombros, culpa a rede e volta a enfiar o telemóvel no bolso.

Nessa mesma noite, chega-lhe uma notificação push da app do banco: “Detetada tentativa de início de sessão suspeita.” O estômago aperta por um segundo - e logo a seguir o cérebro tenta arranjar explicações. Deve ser um erro. Não deve ser nada. Talvez.

Fala-se muito de “burlas online”, mas muitas vezes o risco real está escondido naquele ecrã inicial caótico. Não é o malware óbvio; são as apps esquecidas, as permissões que nunca leu com atenção. Algumas andam, discretamente, à volta dos seus dados bancários como tubarões à volta de um barco.

E sim: é bem possível que já tenha algumas no telemóvel.

1. VPNs “grátis” e falsas apps de segurança que espiam o seu tráfego

O ícone do escudo verde transmite confiança. “VPN Segura – 100% Grátis”, cinco estrelas, milhares de avaliações. Instala, toca em “Permitir” e, de repente, tudo o que faz online passa pelos servidores de uma empresa desconhecida. Do TikTok à app do banco: tudo.

Muitas VPNs “gratuitas” e supostos aceleradores de segurança prometem privacidade e, por trás, rentabilizam os seus dados. Umas inserem rastreadores. Outras registam, ao detalhe, os sites que visita. E há casos com ligações diretas a grupos criminosos. O paradoxo é duro: uma app que instala para se sentir mais protegido pode transformar-se no ponto perfeito para observar as suas ações mais sensíveis - incluindo o momento em que toca em “confirmar transferência” na app do banco.

Investigadores de segurança têm detetado repetidamente VPNs gratuitas a fazer fuga de pedidos DNS, a guardarem registos de utilizadores em bases de dados sem proteção ou, pior, a redirecionarem tráfego de forma silenciosa. Numa análise, dezenas de apps “de segurança” em Android foram apanhadas a partilhar código, servidores e propriedade com redes de adware. Quando uma VPN controla o seu tráfego, pode injetar páginas de phishing, servir páginas bancárias falsas ou interferir com fluxos de verificação por SMS.

O risco não é só “verem a sua palavra-passe”. É criarem um mapa do seu comportamento, das suas rotinas, do seu dispositivo e dos padrões de segurança do seu banco. Junte isso a uma palavra-passe roubada noutro serviço e, muitas vezes, já chega para furar as defesas de uma conta.

2. Apps de “cashback” e cupões que leem demasiado

As apps de cashback vivem de uma promessa simples: liga o cartão ou a conta bancária e recebe de volta uma percentagem do que gasta. Em teoria, parece brilhante. Na prática, algumas comportam-se como aspiradores famintos, a recolher pormenores das suas transações muito para lá do necessário para calcular recompensas.

Nos primeiros passos, é comum empurrarem-no para ligar o banco através de agregadores de terceiros ou para conceder permissões intrusivas para ler SMS, e-mails e notificações. Isso significa que, sempre que o banco envia um código de verificação, um alerta de saldo ou a confirmação de um pagamento, essas mensagens podem também acabar nos servidores da app de cashback. E, uma vez lá, perde grande parte do controlo sobre para onde a informação segue.

Um estudo importante sobre apps financeiras concluiu que muitas ferramentas de “fidelização” ou “orçamento” enviavam metadados de transações para empresas de analítica com pouca transparência. Nem sempre é crime explícito; é a construção silenciosa de perfis extremamente detalhados: onde compra, com que frequência paga renda, se se atrasa nas contas. Nas mãos erradas, esta impressão digital financeira torna o phishing direcionado quase sem esforço. “Olá, somos do seu banco, reparámos na sua transação recente em [nome da loja]…” soa assustadoramente credível quando alguém já conhece os seus hábitos.

3. Apps de teclado, lanterna e utilitários que registam mais do que mostram

Uma das categorias mais traiçoeiras: os pequenos utilitários que parecem inocentes. Um teclado com temas “fofos”. Uma lanterna que jura ser “HD”. Um otimizador de bateria com gráficos chamativos. Por fora são básicos - mas, muitas vezes, pedem acesso a tudo.

Um teclado que não seja de um programador de confiança pode ler cada carácter que escreve. Isso inclui números de cartão, IDs de acesso, partes de palavras-passe e respostas de segurança. Algumas apps de lanterna e “limpeza” pedem acesso a contactos, leitura de SMS, registos de chamadas e até controlo do microfone. Para acender uma luz, é absurdo.

Em várias investigações, laboratórios de segurança descobriram teclados populares a enviar discretamente as teclas pressionadas para servidores remotos, por vezes em países onde as leis de privacidade têm pouca força. Outros traziam SDKs de publicidade conhecidos por recolher identificadores do dispositivo e padrões de utilização de apps em massa. A app do seu banco pode ser segura - mas se o teclado usado para escrever a palavra-passe estiver comprometido, a fortaleza cai por dentro.

4. Como fazer uma limpeza rápida do telemóvel para segurança bancária

Comece por uma regra simples: qualquer app que consiga ver as suas mensagens, o seu ecrã ou o que digita merece desconfiança. Abra as definições e avance por partes: “Aplicações” e depois “Permissões”. Procure apps com acesso a SMS, notificações, Acessibilidade e à opção de “sobrepor-se a outras apps”.

Quando encontrar algo que não justifique claramente esse poder, desinstale. Aquele jogo aleatório que quer acesso a SMS? Fora. Aquele “teclado melhorado” com permissões de rede e sem reputação? Apagado. No caso das VPNs, mantenha apenas uma - e prefira um fornecedor pago e conhecido, em vez de uma marca gratuita, obscura e com origem vaga.

Depois, olhe especificamente para a app do seu banco. Ative tudo o que existir em segurança: login biométrico, autenticação de dois fatores, alertas de transações. Dá trabalho à primeira. Mas 15 minutos aborrecidos agora valem mais do que três meses a discutir com o banco por causa de uma conta esvaziada.

5. Sinais de alerta e erros honestos que quase toda a gente comete

Num fim de dia cansativo, as avaliações parecem prova. “4,8 estrelas, 50 000 downloads, tem de ser legítimo.” Só que avaliações falsas compram-se aos milhares. Para categorias sensíveis - VPNs, teclados, ferramentas financeiras, “cleaners” do telemóvel - trate os números de estrelas como ruído de fundo.

Faça das secções “Permissões” e “Sobre esta app” um novo reflexo. Quem é o dono? Onde está sediada a empresa? Tem site real e morada física, ou apenas um Gmail e um logótipo? Uma app que quer ler coisas ligadas ao seu banco, mas esconde a própria identidade legal, já está a responder - só não o faz com palavras.

Todos nós já tocámos em “Permitir” num pedido de permissões que mal lemos, só para seguir em frente. Num ecrã pequeno, com pressa, parece inofensivo. É exatamente nesse momento humano que muitas apps maliciosas apostam. Sejamos honestos: ninguém lê realmente todas as condições, todos os dias.

“O seu banco pode ter encriptação de classe mundial, mas o ponto mais fraco da cadeia é sempre o dispositivo que tem na mão”, observa um analista de informática forense digital com quem falei. “Quando um malware consegue ver o seu ecrã ou ler os seus códigos, a segurança do banco está a lutar às cegas.”

Guarde uma pequena lista mental para quando sentir vontade de instalar algo “só para experimentar”:

  • Esta app precisa mesmo de ver as minhas mensagens, o meu ecrã ou o que eu escrevo para cumprir a sua função principal?
  • É feita por uma marca ou programador que eu reconheço de facto?
  • Consigo fazer o mesmo diretamente na app oficial do meu banco ou no site?
  • É gratuita, mas estranhamente generosa com “recompensas” ligadas a dinheiro e cartões?
  • Eu sentir-me-ia confortável se o meu banco visse todas as permissões que acabei de conceder?

6. Arrumar as apps é uma questão de controlo, não de paranoia

O objetivo não é transformar o telemóvel num bunker e viver com medo. É deixar de entregar a estranhos as chaves da sua vida financeira embrulhadas num ícone brilhante. A maioria das pessoas não é atacada de forma “cinematográfica”. Muitas vezes começa com uma app “inofensiva” que se esqueceu de ter instalada.

Da próxima vez que desbloquear o telemóvel, olhe para as apps com olhos novos. Pergunte a si próprio quais voltaria a instalar hoje, se o dispositivo fosse novo. Se uma app não passar esse teste, provavelmente também não merece viver ao lado do ícone do seu banco.

Todos já sentimos aquele pequeno impulso ao instalar algo novo, a descarga rápida de dopamina do “talvez isto facilite”. Num telemóvel que guarda as suas poupanças, o salário e o dinheiro da renda, a facilidade por vezes tem de ceder à cautela - não por medo, mas por respeito pelo trabalho que esse dinheiro representa.

Ponto-chave Detalhe Interesse para o leitor
Identificar as apps de risco Priorizar VPNs grátis, teclados, cashback, cleaners e utilitários com permissões excessivas Saber o que remover primeiro para proteger as contas bancárias
Controlar as permissões Verificar acesso a SMS, notificações, Acessibilidade e introdução via teclado Reduzir portas de entrada para códigos, palavras-passe e operações sensíveis
Adotar novos reflexos Confirmar programador, modelo de negócio e alternativas oficiais Instalar menos apps arriscadas e manter controlo sobre os dados financeiros

FAQ:

  • Que apps são mais perigosas para os meus dados bancários? As que têm acesso a SMS, notificações, Acessibilidade ou ao teclado sem necessidade real: VPNs grátis, teclados de origem desconhecida, “boosters”, algumas apps de cashback e cupões.
  • Um jogo simples consegue mesmo roubar os meus dados bancários? Se o jogo apenas tiver acesso à internet, o risco tende a ser sobretudo publicidade e rastreamento. Quando um jogo pede leitura de SMS, notificações ou instalação de componentes extra, é aí que pode ameaçar seriamente a sua segurança bancária.
  • As VPNs gratuitas são sempre inseguras? Nem sempre, mas muitas vivem de monetizar dados dos utilizadores. Se quer uma VPN para usar com o banco, escolha um fornecedor pago e reputado, com política clara de não registo e propriedade transparente.
  • Devo apagar todas as apps com acesso aos meus SMS? Não. Algumas são legítimas (mensagens, apps de autenticação). O perigo está nas apps cuja função principal nada tem a ver com ler mensagens, mas mesmo assim exigem esse poder.
  • Usar a app oficial do banco é mais seguro do que o site? Na maioria dos casos, sim, desde que venha da loja oficial e do editor correto. O mais importante é manter o telemóvel limpo de apps duvidosas que possam espiar essa app oficial.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário