Um framework legítimo de desenvolvimento de apps está por trás de 236.493 sites fraudulentos que operam golpes de criptomoeda, phishing no WhatsApp, cassinos falsos e drenadores de carteira digital. A descoberta é da Infoblox, empresa de inteligência de ameaças em DNS, que rastreou a infraestrutura durante dois anos e revelou o escopo da operação em relatório técnico publicado no final de junho de 2026. Trata-se de uma das maiores campanhas de golpe digital já documentadas por um único framework.
O que é o DCloud Uni-App
O DCloud Uni-App é um framework open-source chinês que permite desenvolver aplicações multiplataforma — Android, iOS, web — a partir de uma única base de código em Vue.js. Não é uma ferramenta maliciosa. Milhares de negócios legítimos o utilizam na China e em outros mercados para construir apps com custo baixo e速度快.
O problema é que criminosos descobriram que os templates do framework servem como base pronta para montar sites de golpe com rapidez e escala industrial. A Infoblox identificou dois grupos distintos: sites que mantêm as assinaturas padrão do DCloud (chamados de “tier vanilla”) e sites mais sofisticados que removem essas assinaturas para evadir detecção automatizada (“tier evasivo”). O segundo grupo, segundo a pesquisa, é até maior do que o primeiro — ou seja, os números reais podem ser ainda mais altos que os 236 mil registrados.
Cinco categorias de golpe
A lista de fraudes montadas sobre o DCloud é extensa e diversa. Entre os 236 mil domínios mapeados, os pesquisadores da Infoblox encontraram pelo menos cinco categorias principais de operação:
| Tipo de golpe | Como funciona |
|---|---|
| Corretoras de cripto falsas | Plataformas que imitam exchanges conhecidas, mostram gráficos e atividade de trading fictícia e bloqueiam saques quando a vítima tenta retirar fundos |
| Drenadores de carteira digital | Páginas que se passam por fluxos de verificação da BNB Chain ou Tether para convencer o usuário a conectar sua carteira crypto e transferir os saldos |
| Cassinos fraudulentos | Que replicam a interface de plataformas como a Polymarket com resultados manipulados para garantir perdas constantes |
| Phishing do WhatsApp | Domínios que imitam o centro de ajuda de segurança do mensageiro (como “whats-zwp[.]vip” e “security-whatsapp-center[.]com”) para roubar credenciais |
| Pirâmides de investimento | Que exigem “código de convite” para abrir conta, transformando cada vítima em recrutadora de novas vítimas |
Esse tipo de operação em larga escala se soma a um cenário global onde redes sociais já superaram o e-mail como vetor principal de golpes digitais, com prejuízos na casa dos bilhões.
De Argentina a Estados Unidos
Um dos casos mais conhecidos ligados ao DCloud é a plataforma RainbowEx, uma corretora de criptomoedas falsa que operou um esquema Ponzi afetando dezenas de milhares de pessoas em San Pedro, Argentina, no final de 2024. Sete pessoas ligadas à operação foram presas pelas autoridades locais. O caso ganhou repercussão internacional e serviu de alerta sobre o uso de frameworks legítimos como arma de fraude.
Nos Estados Unidos, o mesmo framework serviu de base para golpes de “compartilhamento de patinetes” e “compartilhamento de bicicletas” como investimento — esquemas piramidais que prometiam retornos financeiros pelo aluguel de veículos que nunca existiram. A operação usa uma empresa registrada no Reino Unido com licença legítima de serviços financeiros nos EUA como fachada, o que confere uma aparência de legalidade enganosa.
A infraestrutura por trás dos golpes
A maioria dos domínios fraudulentos — mais de 90% — está hospedada em provedores legítimos de cloud: Cloudflare, Alibaba Cloud, Tencent Cloud e Amazon Web Services. Cerca de 6% usam provedores de “bulletproof hosting”, como a CTG Server Limited (AS152194), que já foi flagrada por atividades maliciosas e resiste ativamente a pedidos de remoção de conteúdo.
Um detalhe relevante da análise: os operadores do tier evasivo — que se dão ao trabalho de remover as assinaturas do framework para escapar de filtros automáticos — usam bulletproof hosting em taxa duas vezes maior que os do tier vanilla. A conclusão dos pesquisadores é direta: quem investe em evadir detecção também investe em infraestrutura difícil de derrubar. Os dois comportamentos andam juntos.
Como funcionam os golpes de investimento
O mecanismo é consistente em toda a rede de sites mapeados. A vítima precisa de um “código de convite” de um recrutador para sequer criar conta na plataforma. Sem o código, não há tela de depósito nem acesso ao painel de trading. Isso garante que cada novo alvo chegue através de uma rede de afiliados, não por busca orgânica — o que dificulta enormemente a detecção por motores de busca e ferramentas de análise de reputação.
Após o registro, que exige número de telefone e código SMS, o usuário deposita cripto e vê um painel de “trading” com movimentos fictícios gerados por algoritmo. A interface é convincente: gráficos em tempo real, histórico de operações, saldo aparentemente crescente. Quando a vítima tenta sacar, o sistema bloqueia. O suporte técnico, acessível por chat fora da plataforma, inventa justificativas — erro de sistema, verificação de segurança pendente, taxa de liberação — até que o alvo desista ou, pior, deposite mais tentando “resolver o problema”.
Essa é a mesma dinâmica de sites falsos que o FBI já alertou sobre em outros contextos: fachadas digitais profissionais construídas para enganar.
Risco para o Brasil
O Brasil é o maior mercado de criptomoedas da América Latina, com milhões de usuários ativos em corretoras digitais. Essa combinação de adoção massiva e exposição a golpes torna o país um alvo prioritário. Os sites mapeados pela Infoblox atingem falantes de pelo menos oito idiomas, incluindo português, e operam em todos os continentes.
O phishing do WhatsApp é particularmente perigoso no contexto brasileiro, onde o mensageiro é praticamente onipresente tanto no uso pessoal quanto profissional. Domínios como “security-whatsapp-center[.]com” são projetados para capturar credenciais de usuários que buscam ajuda com segurança da conta ou recuperação de acesso — um cenário comum e que gera urgência na vítima, facilitando o engano.
O esquema de código de convite e recrutamento via WhatsApp também é um padrão já documentado em golpes financeiros que operam em massa no Brasil, com variações que usam nomes de bancos, corretoras e até apps do governo como fachada.
Sinais de alerta essenciais
Plataformas de investimento que exigem código de convite para registrar seguem o padrão central de pirâmides financeiras digitais — sem o código, não há como depositar, e sem depositar não há como perder. Esse mecanismo garante que cada vítima seja trazida por uma rede de recrutadores, não por busca orgânica.
Verifique sempre o domínio oficial de qualquer serviço. O WhatsApp jamais opera domínios como “whats-zwp[.]vip” ou “security-whatsapp-center[.]com”. Qualquer página que se passe por centro de ajuda ou segurança de um serviço conhecido, usando domínios alternativos, é phishing.
O mesmo vale para páginas de “verificação” de BNB Chain ou Tether que pedem para conectar sua carteira digital. Blockchains e exchanges legítimas não operam dessa forma. Se um investimento promete retornos acima do mercado sem explicar o risco envolvido, a probabilidade de ser golpe se aproxima de 100%.
Antes de depositar qualquer valor, pesquise o nome da plataforma em fóruns como Reddit, Reclame Aqui e sites especializados em análise de scams. Mantenha autenticação de dois fatores ativada em todas as contas financeiras e de mensageria. Essas camadas básicas de segurança impedem a maioria dos acessos não autorizados mesmo que suas credenciais sejam vazadas.