Executando verificação de segurança...
8
arnaldobatista
4 min de leitura ·

TIM transforma celulares de clientes em Adware: A prova técnica do redirecionamento para a Superbet

ALERTA: Se você é cliente TIM e tem notado seu navegador abrindo sozinho em sites de apostas, você não foi hackeado. É o aplicativo da própria operadora.

Acabei de concluir uma análise forense no meu dispositivo Android após perceber comportamentos estranhos (links de "bet" abrindo sozinhos). O que encontrei não é um bug, mas uma "feature" exploratória que abusa de permissões do sistema para injetar anúncios em segundo plano.

Aqui está o dossiê técnico de como a TIM, em parceria com a DialMyApp, está utilizando seu telefone para rodar campanhas publicitárias forçadas.

1. O Sintoma

O telefone está bloqueado ou em uso normal. De repente, o Chrome abre sozinho carregando uma URL de redirecionamento que termina em um site de apostas (neste caso, Superbet).

Muita gente acha que é vírus. E tecnicamente, o comportamento é indistinguível de um Adware. Mas a origem é um app legítimo, assinado e impurrável pela operadora: o Meu TIM.

2. A "Smoking Gun" (A Prova Definitiva)

Normalmente, logs do Android (logcat) truncam URLs longas, o que esconde os parâmetros de rastreamento "sujos". No entanto, vasculhando o dump de memória do ActivityManager (dumpsys activity recents), consegui recuperar a Intent original completa que disparou o navegador.

O link que o app da TIM tentou abrir foi este:

https://r.dialmyapp.com/?cmp_w7W2j0CZ9g8
&appPkg=br.com.timbrasil.meutim
&campaignName=timads_mailing_superbet_a_24dez
&type=Open%20browser%20with%20URL

Olhem com atenção para os parâmetros:

  1. appPkg=br.com.timbrasil.meutim: O mandante do crime. O app oficial da TIM.
  2. campaignName=timads_mailing_superbet_a_24dez:
    • timads: Rede de anúncios da TIM.
    • mailing_superbet: Campanha explícita da casa de apostas.
    • 24dez: A data de hoje.
  3. type=Open browser with URL: O comando explícito para abrir o navegador.

3. A Engenharia do "Ataque"

Como eles fazem isso parecer legítimo pro sistema Android?

Passo 1: O Cavalo de Troia (DialMyApp SDK)

O app "Meu TIM" vem com um SDK chamado DialMyApp.
A promessa desse SDK é "digitalizar o atendimento": quando você liga pro SAC, ele intercepta a chamada e mostra um menu visual.
Para fazer isso, ele exige a permissão SYSTEM_ALERT_WINDOW (Desenhar sobre outros apps).

Passo 2: O Abuso de Permissão (Bypass de Background)

O Android moderno proíbe que apps em segundo plano abram telas na sua cara (Background Activity Start).
EXCETO se o app tiver a permissão SYSTEM_ALERT_WINDOW.
Como a TIM tem essa permissão para o "menu visual", o SDK da DialMyApp a utiliza para burlar a proteção do Android e lançar intents de VIEW (abrir navegador) quando bem entende, mesmo com o app fechado no bolso.

Evidência do Logcat:

10:36:56.677 ActivityTaskManager: Background activity start for br.com.timbrasil.meutim allowed because SYSTEM_ALERT_WINDOW permission is granted.
10:36:56.708 ActivityTaskManager: START u0 {act=android.intent.action.VIEW dat=https://r.dialmyapp.com/... } from uid 10403 (br.com.timbrasil.meutim)

4. Execução de Código Remoto (RCE "Feature")

Ao descompilar o APK (br.com.timbrasil.meutim), encontrei o arquivo assets/platform/lucy/templates/profile.js.
O código é um pesadelo de segurança. Ele contém chamadas para eval() e carrega scripts dinamicamente de cdn.dialmyapp.com.

Isso significa que a DialMyApp pode injetar qualquer comportamento no seu telefone remotamente, sem precisar atualizar o app na Play Store. Hoje é um anúncio da Superbet. Amanhã? Quem sabe.

5. O Motor Oculto: Uma AdTech dentro do App

Se você acha que é "só um bug" ou um "link inofensivo", aqui está a pior parte.
A engenharia reversa do código nativo (classes.dex) revelou que o app não apenas recebe links, ele possui um Motor de Publicidade completo e oculto, gerenciado por um banco de dados SQLite interno.

Encontrei uma tabela chamada Ad com campos que mostram a verdadeira intenção do software:

  • showAdOnUnlock (Exibir anúncio ao desbloquear): Sim, existe uma flag nativa para jogar propaganda na sua cara assim que você desbloqueia a tela.
  • performActionOnNotification: Para executar scripts silenciosamente via push.
  • videoURL e videoCache: Para baixar anúncios em vídeo em background (gastando os dados que você paga) e salvar para exibição futura.
  • appInstalled (na tabela AdAnalytics): Monitora se você instalou o app anunciado.
  • Integração AppsFlyer: Para atribuir a instalação e garantir a comissão (CPI).

Isso prova que o app "Meu TIM" foi transformado em uma plataforma de distribuição de anúncios (Adware) que monitora o usuário para maximizar conversões para parceiros como casas de apostas.

Conclusão

A TIM está vendendo o controle da tela do seu celular para casas de apostas.
Eles usam uma permissão de acessibilidade/sobreposição, justificada por uma funcionalidade de "menu de SAC", para criar um backdoor de anúncios que opera em background.

Se isso acontecesse em um app qualquer da Play Store, seria banido como Malware/Adware. Como é a operadora, chama-se "Parceria Estratégica".

Se você tem Android e TIM:

  1. Vá em Configurações > Apps > Meu TIM.
  2. Remova a permissão "Aparecer sobre outros aplicativos" (Display over other apps).
  3. Isso deve matar a capacidade do SDK de abrir o navegador em background.
Carregando publicação patrocinada...
1
Pilati

JAMAIS dou qualquer permissão para qualquer aplicativo sem ver que realmente é necessário.

Sabe o monte de permissão solicitada quando abre um app? simplesmente nego tudo.

Jamais tive esse tipo de problema com essa prática, e espero sinceramente que a TIM receba uma multinha gostosa como presente de ano novo

1
1
curiocurioso

A Play Store do android está cheia de apps adware. Instalação muitas das vezes são daquelas propagandas chatas de fechar do próprio Google Adsense. As tias devem pedir a galera de TI para renovar nesse natal e final de ano durante as confraternizações familiares.

Inclusive, um servidor de DNS selhosted é muito útil nestes momentos.