Pesquisadores de cibersegurança revelaram um novo esquema de fraude publicitária que combina técnicas de search engine poisoning (SEO malicioso) com conteúdo gerado por inteligência artificial para impulsionar notícias enganosas no feed do Google Discover.
O objetivo é induzir usuários a ativar notificações persistentes no navegador, que posteriormente são utilizadas para distribuir scareware e golpes financeiros.
A campanha, direcionada a usuários de Android e Google Chrome, foi denominada Pushpaganda pela equipe de pesquisa da HUMAN.
“Essa operação, batizada em referência às push notifications que estão no centro do esquema, gera tráfego orgânico inválido a partir de dispositivos móveis reais ao induzir usuários a habilitar notificações que exibem mensagens alarmantes”, explicaram os pesquisadores.
No auge da operação, cerca de 240 milhões de bid requests foram associados a 113 domínios ligados à campanha em um período de apenas sete dias.
Inicialmente identificada na Índia, a ameaça rapidamente se expandiu para outras regiões, incluindo Estados Unidos, Austrália, Canadá, África do Sul e Reino Unido.
Segundo os pesquisadores, o caso demonstra como grupos criminosos estão utilizando IA para explorar plataformas confiáveis de descoberta de conteúdo e transformá-las em vetores de distribuição de scareware, deepfakes e fraudes financeiras.
O Google já implementou correções para mitigar o problema de spam.
O funcionamento do esquema depende de atrair usuários por meio do Google Discover, direcionando-os a páginas de notícias falsas, muitas vezes geradas por IA. Ao acessar esses sites, as vítimas são levadas a habilitar notificações, que passam a exibir alertas falsos e mensagens alarmistas.
Na prática, ao interagir com essas notificações, os usuários são redirecionados para outros sites controlados pelos atacantes, gerando tráfego artificial para anúncios e permitindo a monetização fraudulenta.
Esse tipo de abuso não é novo. Em 2025, a Infoblox revelou a atuação do grupo Vane Viper, que explorava notificações para exibir anúncios maliciosos e conduzir campanhas de engenharia social.
A divulgação também ocorre pouco depois de a HUMAN identificar uma operação ainda maior, chamada Low5, composta por mais de 3.000 domínios e 63 aplicativos Android, descrita como um dos maiores ecossistemas de lavagem de fraude publicitária já observados.
Essa infraestrutura utilizava sites de jogos e notícias em HTML5 como cashout sites, permitindo a monetização de tráfego fraudulento em esquemas sofisticados, incluindo o BADBOX 2.0.
“A operação atingiu cerca de 2 bilhões de bid requests por dia e pode ter operado em até 40 milhões de dispositivos globalmente”, informou a empresa.
Os aplicativos envolvidos continham código projetado para forçar dispositivos a acessar domínios do esquema e interagir com anúncios, simulando atividade legítima.
Os chamados cashout sites, ou ghost sites, são utilizados para vender inventário publicitário fraudulento a anunciantes que acreditam estar alcançando usuários reais.
Os aplicativos Android associados já foram removidos da loja oficial.
Segundo a HUMAN, a utilização de uma infraestrutura compartilhada de monetização torna esse tipo de operação mais resiliente, dificulta a atribuição e permite rápida reutilização por diferentes grupos criminosos.
“O principal aprendizado é que a infraestrutura pode sobreviver mesmo após a derrubada de campanhas específicas. Domínios utilizados para monetização podem ser reutilizados por outros agentes, reforçando a necessidade de monitoramento contínuo e detecção proativa”, conclui o relatório.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...