### Engano Impulsionado por IA Visa Usuários de Dispositivos Móveis A campanha **Pushpaganda**, identificada pela Satori Threat Intelligence and Research Team da **HUMAN**, tem como alvo os feeds de conteúdo personalizado de usuários de Android e Chrome. Os pesquisadores Louisa Abel, Vikas Parthasarathy, João Santos e Adam Sell relataram que a operação gera tráfego orgânico inválido de dispositivos móveis reais, enganando usuários para que se inscrevam em notificações que apresentam mensagens alarmantes. Em seu pico, aproximadamente 240 milhões de solicitações de lances (bid requests) foram associadas a 113 domínios ligados à campanha durante um período de sete dias. Inicialmente focada na Índia, a ameaça se expandiu para regiões incluindo EUA, Austrália, Canadá, África do Sul e Reino Unido. Gavin Reid, chief information security officer da **HUMAN**, enfatizou como os atores de ameaças estão abusando da IA para sequestrar superfícies de descoberta confiáveis e transformá-las em veículos de entrega para scareware, deepfakes e fraudes financeiras. O **Google** implementou desde então uma correção para resolver o problema de spam. ### Como o Golpe Funciona O esquema depende de atrair usuários desavisados através do **Google** Discover para notícias enganosas repletas de conteúdo gerado por IA. Assim que um usuário acessa um domínio controlado pelo ator da ameaça, ele é coagido a habilitar notificações push que entregam falsas ameaças legais e golpes. Clicar nas notificações de scareware redireciona os usuários para sites adicionais operados pelos atores de ameaças, gerando tráfego orgânico para anúncios embutidos nesses sites e permitindo que eles gerem receita ilícita.  ### Abuso de Notificações Push: Uma Ameaça Recorrente Esta não é a primeira vez que atores de ameaças utilizam notificações push como arma. Em setembro de 2025, a **Infoblox** destacou a **Vane Viper**, um ator de ameaça envolvido no abuso sistemático de notificações push para veicular anúncios e facilitar campanhas de engenharia social do tipo ClickFix. Lindsay Kaye, vice-presidente de inteligência de ameaças da **HUMAN Security**, observou que ameaças baseadas em malware envolvendo notificações push, tanto para plataformas web quanto móveis, não são novas. Os usuários frequentemente clicam rapidamente nessas notificações, tornando-as uma ferramenta eficaz no arsenal de um autor de malware. ### Resposta do Google Um porta-voz do **Google** declarou que a empresa impede a vasta maioria de spam no Discover através de robustos sistemas de combate a spam e políticas contra formas emergentes de conteúdo de baixa qualidade e manipulador. Antes de saber do relatório, eles lançaram uma correção para o problema de spam, mantendo um alto padrão de qualidade de conteúdo no Discover. O **Google** implementou políticas robustas contra spam e sistemas de combate a spam para lidar com práticas abusivas que exibem conteúdo não original e de baixa qualidade na Pesquisa e no Discover. Atualizações algorítmicas regulares são lançadas para sinalizar conteúdo que viola políticas e busca manipular os rankings de busca e notícias. De acordo com as diretrizes do **Google**, qualquer uso de IA para gerar conteúdo principalmente para manipular rankings de busca é contra suas políticas de spam. Isso inclui abuso de conteúdo em escala, como o uso de ferramentas de IA generativa para produzir páginas que não oferecem valor, raspagem de feeds e criação de múltiplos sites para ocultar a natureza escalonada do conteúdo. ### Mercados de Lavagem de Fraudes de Anúncios Esta divulgação segue a recente identificação pela **HUMAN** de mais de 3.000 domínios e 63 aplicativos Android que constituem um dos maiores mercados de lavagem de fraudes de anúncios já descobertos. Esta operação, apelidada de Low5, monetiza domínios como sites de cashout para esquemas de fraude sofisticados, incluindo **BADBOX 2.0**. A operação atingiu um pico de aproximadamente 2 bilhões de solicitações de lances por dia e pode ter operado em até 40 milhões de dispositivos em todo o mundo. Aplicativos associados ao Low5 incluem código que instrui os dispositivos dos usuários a visitar domínios conectados ao esquema e clicar em anúncios. Sites de cashout, também chamados de ghost sites, são usados para realizar fraudes baseadas em conteúdo, utilizando sites e aplicativos falsos para vender espaço para anunciantes que assumem que seus anúncios serão vistos por humanos. Os aplicativos Android em questão foram removidos da **Google Play Store**. A **HUMAN** enfatiza que uma camada de monetização compartilhada abrangendo milhares de domínios permite que múltiplos atores de ameaças se conectem à mesma infraestrutura, criando um sistema de lavagem distribuído. Isso aumenta a resiliência de ameaças, complica a atribuição e permite a replicação rápida. Mesmo após o desmantelamento de uma campanha de fraude específica, a infraestrutura de monetização pode sobreviver. Se um aplicativo malicioso ou rede de dispositivos for removido, os mesmos domínios de cashout podem ser reutilizados por outros atores. O Low5 reforça a necessidade de inteligência de ameaças contínua e agressiva e expertise em detecção para caçar domínios de cashout e sinalizá-los antes do lance.