Uma peça perigosa de stalkerware chamada Cerberus Anti-theft tem se escondido à vista de todos na Google Play Store desde outubro de 2023. Comercializado sob o nome de pacote com.ssurebrec e vendido como uma ferramenta legítima de anti-roubo, o aplicativo é capaz de fotografar silenciosamente as vítimas, rastrear sua localização, gravar áudio e apagar seus dispositivos, tudo sem o conhecimento do usuário.
O aplicativo está disponível através de uma assinatura de apenas 5 euros por mês e é operado pela LSDroid SRL, uma empresa com sede em Milão, Itália. O que torna este caso alarmante não é apenas as capacidades do aplicativo, mas o fato de que ele permaneceu na loja de aplicativos mais amplamente utilizada do mundo, totalmente ativo e coletando pagamentos, por mais de um ano.
Infraestrutura de comando e controle baseada em Firebase
Um dos aspectos tecnicamente mais significativos deste stalkerware é como ele usa a própria infraestrutura do Google para executar suas operações de comando e controle. O Cerberus roteia todos os comandos remotos através do Firebase Cloud Messaging, um serviço de propriedade do Google, o que significa que as instruções do abusador, como "tirar uma foto" ou "apagar o dispositivo", viajam pelos servidores do Google antes de chegar ao telefone da vítima.
Cinco projetos do Firebase, todos vinculados à mesma conta de desenvolvedor da LSDroid, hospedam os canais de comando e o banco de dados em tempo real que sincroniza o painel do operador com os dispositivos instalados. Os pesquisadores observaram que a suspensão desses projetos do Firebase desconectaria instantaneamente todas as instalações ativas do Cerberus de seu controlador.
Abuso de serviços de acessibilidade e desligamento falso
O aplicativo companheiro, Lock Screen Protector (com.lsdroid.lsp), desempenha um papel crítico na extensão do alcance do stalkerware. Uma vez concedida a permissão do serviço de acessibilidade do Android, ele lê todo o conteúdo na tela, executa gestos de toque e captura capturas de tela. Quando uma vítima tenta desligar o telefone, este aplicativo intercepta a caixa de diálogo de desligamento, a descarta e envia uma captura de tela da tela de bloqueio para o aplicativo principal Cerberus.
O resultado é um desligamento falso: a tela fica escura, mas a câmera, o microfone e o GPS permanecem totalmente ativos. Este recurso, combinado com o uso de uma biblioteca de código aberto chamada HiddenApiBypass para derrotar as restrições internas do Android, representa um esforço deliberado para sobreviver tanto à detecção do usuário quanto à revisão em nível de plataforma.
Evidências e limites da exploração
Os pesquisadores da Hexproof identificaram o escopo operacional completo do Cerberus em abril de 2026, revelando que o aplicativo suporta 44 comandos remotos enviados através de um painel web em cerberusapp.com. Sua análise descobriu que as capacidades de vigilância descritas em um artigo acadêmico de 2018 pelos pesquisadores da Cornell Tech e da NYU ainda estão intactas na versão atual da Play Store.
Os pesquisadores também notaram que o aplicativo retornou à Google Play sob um pacote renomeado, efetivamente evitando a remoção que o Google realizou em 2018 sob uma política não relacionada a stalkerware. Em 2020, o Cerberus representou 52% de todas as detecções de stalkerware rastreadas pela F-Secure globalmente, tornando-se a única família de stalkerware mais detectada no mundo naquele ano.
Recomendações para usuários e CISOs
Vítimas que suspeitam de comprometimento são fortemente aconselhadas a entrar em contato com a Linha Direta Nacional de Violência Doméstica nos Estados Unidos ou entrar em contato com a Coalizão Contra o Stalkerware antes de tomar qualquer ação diretamente no dispositivo. Mesmo verificar as configurações do telefone pode alertar o abusador, já que o Cerberus relata alterações de permissão ao operador em tempo real.
Evidências forenses necessárias para ordens de proteção legal também podem ser perdidas durante a remoção. Organizações como a Clínica para Acabar com o Abuso Tecnológico da Cornell Tech (CETA) e o Projeto Safety Net da NNEDV podem ajudar sobreviventes com um processo de remoção seguro e planejado.
O que fazer agora
Para profissionais de segurança, a recomendação é monitorar tráfego de saída para domínios do Firebase associados a contas de desenvolvedor suspeitas e auditar permissões de acessibilidade em dispositivos corporativos. A detecção de pacotes como com.ssurebrec e com.lsdroid.lsp deve disparar alertas imediatos de resposta a incidentes.