O Teclado GO (GOKeyboard) é um aplicativo com mais de 500 milhões de downloads na Google Play — e os brasileiros são uma boa fatia desse número. Porém, um novo relato indica que o app está espionando seus usuários em duas versões disponibilizadas na loja oficial de downloads da Google.

Segundo pesquisadores da AdGuard, as versões "Teclado GO – Smiley" e "Teclado GO – Emoticons", desenvolvidas pela chinesa GOMO Apps, estão enviando dados sensíveis de usuários para servidores remotos, além de executarem códigos não autorizados.

Usuários da Google Play podem ser facilmente ludibriados na instalação. Além dos aplicativos estarem disponíveis na própria loja oficial, eles possuem a indicação de milhões de downloads, reviews de usuários e notas que variam entre 4,4 e 4,5 estrelas.

Cidadãos de diversos países no mundo utilizam os aplicativos Teclado GO

Os pesquisadores da AdGuard notaram que a GOMO supostamente está tentando coletar dados privados de usuários e dados confidenciais presentes em smartphones e tablets — entre eles, modelo do celular, tipo de rede de acesso, versão do Android, tamanho da tela e endereços de email.

Outro problema indicado é que os aplicativos da GOMO estão se comunicando com redes de rastreamento, notou o HackRead. Além disso, eles estão executando códigos como "arquivos dex" ou "códigos nativos" por meio de servidores remotos — e isso viola a seção de Comportamento Malicioso do guia para desenvolvedores.

Uma captura de tela Filtro Android

O que pode acontecer

Na Google Play, uma mensagem na página do Teclado GO diz o seguinte: "Nós nunca iremos coletar suas informações, incluindo informações de cartão de crédito. Na verdade, nos preocupamos pela privacidade do que você digita e para quem você digita".

Segundo o HackRead, "o app faz exatamente o oposto do que prega, compartilhando seus dados pessoais logo após a instalação e se comunicando com dezenas de servidores de rastreamento para coletar dados sensíveis e confidenciais".

Um teclado malicioso simplesmente pode registrar tudo o que é digitado — sim, tudo

Caso ainda não tenha percebido, um teclado malicioso simplesmente pode registrar tudo o que é digitado. Isso inclui: conversas em diferentes mensageiros, senhas de redes sociais e sites, números telefônicos e senhas de bancos.

Ainda, é possível encontrar os seguintes pedidos nas permissões: "Recuperar aplicativos em execução, ler dados de log sensíveis, encontrar contas no dispositivo, ler seus contatos, ler registro de chamadas, gravar áudio, exibir janelas não autorizadas, ler termos que adicionou ao dicionário e adicionar palavras ao dicionário definido pelo usuário".

É esperado que a Google se posicione sobre o caso, comentou a AdGuard. Contudo, é alarmante que aplicativos como este continuam encontrando caminho na Google Play e, mais ainda, preocupante que continuem online mesmo após a publicação de relatos como este.

Cupons de desconto TecMundo: