UMmbar Nigrum52 anos, trabalha como contador para diversas instituições de caridade em Yogyakarta, na Indonésia. No início do ano passado, ela recebeu uma mensagem de alguém que dizia trabalhar para a repartição de finanças do país, pedindo-lhe que atualizasse os seus dados. Mais tarde, ela descobriria que se tratava de um ataque de spyware – um ataque que ilustra um salto preocupante nas capacidades criminosas.

A Sra. Nigrum (nome fictício) não sabia o que fazer com as mensagens. Ela disse ao “funcionário” que verificaria com um amigo se eles eram legítimos. Uma hora depois, o “funcionário” telefonou, tentando apressá-la. A Sra. Nigrum recebeu um link para seguir.

Depois de seguir o link, a Sra. Nigrum baixou um aplicativo que imitava um aplicativo governamental usado para pagar impostos. Ela criou uma conta, que exigia duas senhas. O “funcionário” aconselhou-a a usar a data de nascimento como uma delas, o que ela achou estranho. Demorou quase meia hora para configurar o aplicativo. O que a Sra. Nigrum não sabia era que o software estava capturando seus dados biométricos. Também obteve acesso às suas contas bancárias, câmera, fotografias, microfone, contatos e notas.

De repente, a Sra. Nigrum lembrou-se de que tinha uma amiga que trabalhava na repartição de finanças, para quem ela encaminhou o link. Sua amiga respondeu imediatamente.

A Sra. Nigrum entrou em pânico. Uma busca frenética no Google retornou avisos do governo sobre fraudes fiscais. Ela verificou suas contas bancárias. Dois foram esvaziados. As retiradas começavam em um terço. Ela era responsável pelas contas do seu empregador, como é comum com os indonésios ONGS. Mais de 450 milhões de rupias (26.500 dólares) pertencentes às instituições de caridade foram roubadas – o suficiente para cobrir eletricidade, internet e os salários de dez funcionários durante um ano. “Como alguém como eu, alguém que trabalha com finanças há 30 anos, pode cair em algo assim?” A Sra. Nigrum continuou pensando. “Eu me senti tão estúpido. Fiquei com raiva de mim mesmo.”

Durante anos, a indústria da fraude online tem dependido principalmente de métodos lentos e que exigem muita mão-de-obra: golpes de investimento, fraudes românticas e os chamados esquemas de abate de porcos, nos quais as vítimas são preparadas durante semanas ou meses antes de serem roubadas. Novos esquemas de “Trojans”, possibilitados pelos avanços tecnológicos, marcam uma mudança de abordagem. Depois que os criminosos acessam os contatos de um telefone usando spyware, eles podem atingir todos os membros da rede da vítima. “É um ataque muito mais rápido do que uma fraude tradicional”, afirma Jeremy Douglas, do Escritório das Nações Unidas sobre Drogas e Crime. “Há potencial para que milhões de dispositivos sejam infectados.”

O spyware utilizado no ataque à Sra. Nigrum faz parte de uma operação global de “malware como serviço” que está ativa pelo menos desde 2023. Nessas operações, os criminosos não constroem eles próprios a tecnologia, mas compram-na a sites de mensagens como o Telegram. Em março de 2025, a Infoblox, uma empresa de segurança, notou um aumento repentino no tráfego suspeito da Internet que a levou a descobrir um cluster de software que incluía o spyware baixado pela Sra. Nigrum. Desde então, a empresa identificou centenas de domínios direcionados a pessoas em mais de 20 países. O número de consultas maliciosas usando o software para atingir clientes da Infoblox saltou de 400.000 em março de 2025 para pelo menos 1,8 milhão um mês depois, de acordo com um relatório compartilhado com O economista.

Esse malware é constantemente atualizado para torná-lo mais eficiente e capaz de evitar a detecção por software antivírus. A lista de idiomas em que opera, de países-alvo e de organizações que representa está sempre crescendo. É vendido por vendedores de língua chinesa principalmente para organizações criminosas transnacionais baseadas no Sudeste Asiático. Estas empresas gerem vastos negócios online, muitas vezes a partir de sedes em distritos industriais protegidos por muros altos, câmaras de segurança, arame farpado e guardas armados. Estima-se que tais negócios gerem mais de 500 mil milhões de dólares por ano, colocando o seu rendimento no mesmo nível do comércio ilegal de drogas, um dos maiores negócios criminosos.

As novas formas de spyware em desenvolvimento sugerem que a Scam Inc poderia crescer ainda mais. “Eles poderiam facilmente roubar fotos ou comunicações para extorsão”, diz Renée Burton, da Infoblox. Os criminosos podem então vender ou trocar os dados roubados na dark web, levando a novos ataques às pessoas listadas no telefone da primeira vítima.

Além de se fazerem passar por funcionários fiscais indonésios, os criminosos fizeram-se passar por agentes de imigração na Coreia do Sul, polícias na África do Sul e funcionários do Supremo Tribunal da Índia. A Turquia e a Tailândia são outros pontos críticos. Os americanos e outros ocidentais ricos, protegidos pelos sistemas de segurança dos seus bancos e fornecedores de Internet, têm estado até agora relativamente seguros. Mas isso pode mudar. A Infoblox encontrou sinais de IA integração de chatbot, ferramentas de voz deepfake e testes de formas de escapar aos sistemas de reconhecimento facial – sugerindo que a próxima geração de spyware será mais difícil de detectar e ainda mais convincente. “Assim que os criminosos aperfeiçoarem isto… começarão a visar mercados mais sofisticados”, diz Douglas. “Tenho muita, muita certeza de que veremos mais do UE no mapa em um ano.”

Não são apenas as vítimas do crime que sofrem. As Nações Unidas estimam que centenas de milhares de pessoas foram forçadas a trabalhar como golpistas em países como Camboja e Mianmar. Alguns são graduados universitários multilingues de países pobres que foram enganados pela promessa de um emprego bem remunerado num call center. No final de 2024, Hieu Minh Ngo, um especialista vietnamita em segurança cibernética, foi contactado por pessoas presas num complexo no Camboja. Foram vítimas de tráfico de seres humanos e disseram ao Sr. Ngo que tinham sido espancados e electrocutados quando não conseguiram cumprir os objectivos.

Um denunciante deu ao Sr. Ngo acesso ao seu Telegram. O Sr. Ngo fez backup do histórico da conta e dos registros de bate-papo. Ele também invadiu os sistemas dos criminosos. Desde então, ele viu mais de 10 mil vítimas baixarem spyware somente no Vietnã. Recentemente, ele testemunhou um ataque em que um professor perdeu US$ 65 mil. Em 30 segundos, os criminosos transferiram o dinheiro dela através de várias contas bancárias e fora do seu alcance.

Ngo denunciou os gangues à polícia vietnamita, que prendeu grupos locais. Mas muitas são operações transnacionais que estão fora do alcance da lei. Ele estima que, num dia bom, um grupo rouba mais de 500 mil dólares às vítimas num único país. Alguns de seus denunciantes ainda estão presos em seu complexo; outros foram vendidos a diferentes grupos, onde passaram fome como castigo.

O governo cambojano afirma que está a tentar acabar com a indústria da fraude online. Mas, apesar das suas promessas, muitos complexos, incluindo o K99 Triumph City, continuam a funcionar, enquanto as elites empresariais e políticas do país continuam a lucrar com as propinas. Esses lucros só aumentarão à medida que os golpes se tornarem mais sofisticados. E assim será cada vez mais difícil parar todo o empreendimento.■