Google endurece combate a fraudes, barra 8,3 bilhões de anúncios maliciosos e eleva padrão de privacidade no Android 17
O Google anunciou uma ofensiva mais agressiva contra abusos no ambiente digital, combinando novas camadas de proteção no Android 17 com uma política mais dura contra anúncios e contas fraudulentas. Os números revelados pela empresa mostram a escala do problema: só em 2025 foram bloqueados ou removidos mais de 8,3 bilhões de anúncios em desacordo com as políticas da plataforma e suspensas 24,9 milhões de contas envolvidas em atividades suspeitas.
Mais do que um ajuste pontual, trata-se de uma mudança de postura: o Google passa a atuar de forma mais preventiva, reduzindo a exposição de dados sensíveis dos usuários e restringindo brechas historicamente exploradas por golpistas, apps maliciosos e desenvolvedores que coletam informações em excesso.
Novo modelo de acesso a contatos: adeus à agenda aberta
Um dos pontos centrais do Android 17 é a reformulação completa do acesso à lista de contatos. Até hoje, a permissão READ_CONTACTS dava ao aplicativo, na prática, uma cópia integral da agenda do usuário, incluindo nomes, telefones, e-mails e outras anotações. Isso criava um risco relevante: qualquer falha de segurança, vazamento ou má-fé do desenvolvedor transformava a agenda em um ativo altamente valioso para campanhas de spam, phishing e engenharia social.
Com o Android 17, entra em cena um novo Contact Picker, um seletor de contatos que muda a lógica de acesso. Em vez de liberar a agenda inteira, o usuário escolhe manualmente quais contatos deseja compartilhar com cada aplicativo. Assim, um app de entrega ou um mensageiro alternativo, por exemplo, passa a receber apenas as informações estritamente necessárias para funcionar.
Outro avanço é a possibilidade de o aplicativo pedir apenas campos específicos de um contato – como número de telefone ou endereço de e-mail – sem visualizar todo o registro. Essa abordagem segue o princípio do “mínimo privilégio”: o app recebe apenas o que realmente precisa para executar sua função, reduzindo drasticamente a superfície de ataque em caso de vazamento ou invasão.
Para os desenvolvedores que, de fato, necessitam de acesso amplo e contínuo à agenda, o Google não proíbe, mas impõe barreiras: será obrigatório justificar formalmente essa necessidade por meio de declarações específicas na Play Console. Ou seja, o acesso amplo deixa de ser padrão e passa a ser exceção, monitorada e documentada.
Localização sob controle: uso pontual e mais transparência
A coleta de dados de localização sempre foi um ponto sensível na discussão sobre privacidade. No Android 17, o Google tenta reequilibrar essa relação ao colocar o usuário no centro das decisões. Uma das novidades é um botão simplificado para concessão de acesso pontual à localização precisa. Em vez de liberar o rastreamento constante, o usuário poderá autorizar o uso da localização apenas naquele momento ou ação específica.
O sistema também ganha um indicador persistente sempre que algum aplicativo estiver acessando a localização em segundo plano. Esse aviso contínuo reforça a transparência e permite que o usuário identifique rapidamente comportamentos suspeitos, como um app que insiste em rastrear seus movimentos sem motivo aparente.
Tal como ocorre com o acesso a contatos, desenvolvedores que precisarem de acesso contínuo à localização terão de justificar tecnicamente essa necessidade. Essa exigência de justificativa ajuda a filtrar usos legítimos – como apps de navegação, transporte e segurança – de práticas abusivas que coletam dados para perfis comerciais, campanhas invasivas de marketing ou até mesmo vigilância indevida.
IA na linha de frente: Gemini contra anúncios maliciosos
No campo da publicidade digital, o Google detalhou como vem usando seu modelo de inteligência artificial Gemini para identificar, em escala industrial, anúncios maliciosos e campanhas de fraude. De acordo com a empresa, mais de 99% dos anúncios que violavam as políticas foram bloqueados antes de chegarem ao usuário, sem sequer serem exibidos.
Entre os números divulgados, chamam atenção:
– 602 milhões de anúncios e 4 milhões de contas diretamente ligados a golpes;
– 4,8 bilhões de anúncios com algum tipo de restrição aplicada;
– 480 milhões de páginas alvo de ações por conteúdo inadequado, incluindo malware, apostas ilegais, armas e material adulto.
Esses dados confirmam uma tendência que já vinha sendo observada: criminosos digitais estão usando IA generativa para criar anúncios e páginas cada vez mais convincentes, com textos, imagens e até vídeos difíceis de distinguir de peças legítimas. Em vez de apenas analisar palavras-chave ou padrões estáticos, o Google passou a usar IA também para interpretar a intenção por trás de campanhas, o contexto e o comportamento dos anúncios ao longo do tempo.
Na prática, isso significa que golpes mais sofisticados, que antes conseguiam driblar filtros tradicionais, passam a ser detectados por sinais mais sutis: inconsistências na proposta comercial, padrões de redirecionamento, uso de engenharia social e até o tipo de narrativa utilizada nas peças de publicidade.
Transferência de contas e combate ao submundo de apps
Outra frente atacada pelo Google está no ecossistema de aplicativos da Play Store. A empresa anunciou a implementação de um sistema nativo para transferência de propriedade de apps dentro da própria Play Console.
Hoje, é comum que contas de desenvolvedores sejam vendidas, alugadas ou compartilhadas de forma informal. Isso cria um terreno fértil para abusos: golpistas podem assumir o controle de um app legítimo, empurrar atualizações maliciosas, inserir SDKs de rastreamento agressivo, monetizar com anúncios enganosos ou usar a reputação construída ao longo dos anos para espalhar malware.
Com o novo mecanismo, a transferência passa a ser formalizada e auditável dentro da infraestrutura do Google. A partir de maio de 2026, esse procedimento será o método recomendado – e, na prática, tende a inviabilizar as trocas informais de credenciais que deixam empresas, desenvolvedores e usuários vulneráveis.
O que muda para usuários finais
Para quem usa Android no dia a dia, as mudanças podem parecer sutis à primeira vista, mas representam um salto qualitativo em termos de controle. O usuário passa a:
– decidir contato a contato o que um app pode ver;
– limitar a localização a um uso pontual, sem autorizar rastreamento contínuo;
– visualizar com mais clareza quando e como dados sensíveis estão sendo utilizados;
– contar com uma camada adicional de proteção contra anúncios enganosos e golpes.
Na prática, isso reduz o volume de dados disponíveis para perfis indevidos, dificulta a criação de campanhas de phishing personalizadas com base em agendas e históricos de localização e diminui a chance de cair em golpes disfarçados de publicidade legítima.
Impactos para o mercado de publicidade digital
Do ponto de vista do mercado, a mensagem é direta: o ambiente está ficando mais restritivo para quem opera na zona cinzenta das políticas ou aposta em táticas agressivas de coleta de dados. Anunciantes e agências terão de reforçar a conformidade, revisando criativos, páginas de destino e fluxos de cadastro para garantir alinhamento às regras de transparência, finalidade do tratamento de dados e clareza de oferta.
Ao mesmo tempo, players que já seguem boas práticas tendem a se beneficiar indiretamente. Menos anúncios fraudulentos significa menos poluição no ecossistema, maior confiança dos usuários e maior probabilidade de cliques em campanhas legítimas. Em um cenário em que a atenção é um recurso escasso, reduzir o ruído de fraudes pode elevar a efetividade da publicidade séria.
Desafios e ajustes para desenvolvedores de apps
Para desenvolvedores, o novo modelo exige uma mudança de mentalidade. Não será mais viável pedir todas as permissões “por conveniência”, apenas porque facilitam certas funcionalidades secundárias. Cada acesso sensível – contatos, localização, dados pessoais – precisará ser tecnicamente defendido, documentado e, principalmente, explicado de forma clara ao usuário.
Isso implica:
– revisar o design do aplicativo, reduzindo dependências desnecessárias de dados sensíveis;
– implementar fluxos de consentimento mais granulares, pedindo permissão apenas no momento relevante de uso;
– preparar documentação e justificativas na Play Console para permissões especiais;
– adotar boas práticas de segurança, como criptografia local, minimização de logs e retenção limitada de dados.
Se por um lado isso gera trabalho adicional, por outro cria um diferencial competitivo: apps que tratam dados com responsabilidade tendem a conquistar mais confiança, melhor reputação e, com o tempo, maior engajamento.
Convergência com regulações de privacidade
As mudanças também dialogam diretamente com a pressão regulatória global em torno de proteção de dados. Regulamentos como a LGPD, no Brasil, e leis de outras jurisdições exigem transparência, finalidade legítima e minimização na coleta de informações pessoais.
Ao embutir esses princípios na própria arquitetura do Android e nos processos de aprovação da Play Store, o Google tenta reduzir riscos jurídicos tanto para si quanto para empresas que desenvolvem apps e anunciam em suas plataformas. Na prática, seguir as novas diretrizes de permissão e coleta de dados aproxima automaticamente os projetos de um cenário de maior conformidade regulatória.
Como empresas podem se preparar
Empresas que dependem de apps móveis ou de publicidade digital precisam enxergar essas mudanças como oportunidade para fortalecer sua estratégia de segurança e privacidade. Alguns passos recomendados:
– realizar um inventário completo das permissões solicitadas pelos apps atuais;
– questionar, para cada permissão, se ela é realmente indispensável ao funcionamento do negócio;
– atualizar políticas de privacidade e telas de consentimento, explicando com linguagem clara o uso de dados;
– definir um responsável interno por segurança e conformidade em produtos digitais;
– monitorar continuamente campanhas de mídia, evitando práticas ambíguas ou potencialmente enganosas.
Um novo patamar de segurança defensiva
O cenário que se desenha é de um embate cada vez mais sofisticado: atacantes usam IA, automação e escala para criar fraudes mais convincentes; plataformas como o Google respondem com IA defensiva, filtros mais inteligentes e controles mais granulares de permissão.
A combinação entre bloqueio massivo de anúncios maliciosos, reforço de privacidade no Android 17 e endurecimento das regras na Play Console sinaliza que a era da coleta irrestrita de dados e da experimentação “sem consequências” está chegando ao fim.
Para empresas e desenvolvedores, o recado é inequívoco: não basta proteger o código. É preciso proteger o dado, demonstrar responsabilidade no uso de permissões, ser transparente com o usuário e alinhar-se rigorosamente às políticas de plataforma. Quem ignorar esse movimento corre o risco não apenas de ter campanhas e contas suspensas, mas de perder, de forma irreversível, a confiança do público.