Um framework legítimo de desenvolvimento de apps está por trás de 236.493 sites fraudulentos que operam golpes de criptomoeda, phishing no WhatsApp, cassinos falsos e drenadores de carteira digital. A descoberta é da Infoblox, empresa de inteligência de ameaças em DNS, que rastreou a infraestrutura durante dois anos e revelou o escopo da operação em relatório técnico publicado no final de junho de 2026. Trata-se de uma das maiores campanhas de golpe digital já documentadas por um único framework.

O que é o DCloud Uni-App

O DCloud Uni-App é um framework open-source chinês que permite desenvolver aplicações multiplataforma — Android, iOS, web — a partir de uma única base de código em Vue.js. Não é uma ferramenta maliciosa. Milhares de negócios legítimos o utilizam na China e em outros mercados para construir apps com custo baixo e速度快.

O problema é que criminosos descobriram que os templates do framework servem como base pronta para montar sites de golpe com rapidez e escala industrial. A Infoblox identificou dois grupos distintos: sites que mantêm as assinaturas padrão do DCloud (chamados de “tier vanilla”) e sites mais sofisticados que removem essas assinaturas para evadir detecção automatizada (“tier evasivo”). O segundo grupo, segundo a pesquisa, é até maior do que o primeiro — ou seja, os números reais podem ser ainda mais altos que os 236 mil registrados.

Cinco categorias de golpe

A lista de fraudes montadas sobre o DCloud é extensa e diversa. Entre os 236 mil domínios mapeados, os pesquisadores da Infoblox encontraram pelo menos cinco categorias principais de operação:

Tipo de golpe Como funciona
Corretoras de cripto falsas Plataformas que imitam exchanges conhecidas, mostram gráficos e atividade de trading fictícia e bloqueiam saques quando a vítima tenta retirar fundos
Drenadores de carteira digital Páginas que se passam por fluxos de verificação da BNB Chain ou Tether para convencer o usuário a conectar sua carteira crypto e transferir os saldos
Cassinos fraudulentos Que replicam a interface de plataformas como a Polymarket com resultados manipulados para garantir perdas constantes
Phishing do WhatsApp Domínios que imitam o centro de ajuda de segurança do mensageiro (como “whats-zwp[.]vip” e “security-whatsapp-center[.]com”) para roubar credenciais
Pirâmides de investimento Que exigem “código de convite” para abrir conta, transformando cada vítima em recrutadora de novas vítimas

Esse tipo de operação em larga escala se soma a um cenário global onde redes sociais já superaram o e-mail como vetor principal de golpes digitais, com prejuízos na casa dos bilhões.

De Argentina a Estados Unidos

Um dos casos mais conhecidos ligados ao DCloud é a plataforma RainbowEx, uma corretora de criptomoedas falsa que operou um esquema Ponzi afetando dezenas de milhares de pessoas em San Pedro, Argentina, no final de 2024. Sete pessoas ligadas à operação foram presas pelas autoridades locais. O caso ganhou repercussão internacional e serviu de alerta sobre o uso de frameworks legítimos como arma de fraude.

Nos Estados Unidos, o mesmo framework serviu de base para golpes de “compartilhamento de patinetes” e “compartilhamento de bicicletas” como investimento — esquemas piramidais que prometiam retornos financeiros pelo aluguel de veículos que nunca existiram. A operação usa uma empresa registrada no Reino Unido com licença legítima de serviços financeiros nos EUA como fachada, o que confere uma aparência de legalidade enganosa.

A infraestrutura por trás dos golpes

A maioria dos domínios fraudulentos — mais de 90% — está hospedada em provedores legítimos de cloud: Cloudflare, Alibaba Cloud, Tencent Cloud e Amazon Web Services. Cerca de 6% usam provedores de “bulletproof hosting”, como a CTG Server Limited (AS152194), que já foi flagrada por atividades maliciosas e resiste ativamente a pedidos de remoção de conteúdo.

Um detalhe relevante da análise: os operadores do tier evasivo — que se dão ao trabalho de remover as assinaturas do framework para escapar de filtros automáticos — usam bulletproof hosting em taxa duas vezes maior que os do tier vanilla. A conclusão dos pesquisadores é direta: quem investe em evadir detecção também investe em infraestrutura difícil de derrubar. Os dois comportamentos andam juntos.

Como funcionam os golpes de investimento

O mecanismo é consistente em toda a rede de sites mapeados. A vítima precisa de um “código de convite” de um recrutador para sequer criar conta na plataforma. Sem o código, não há tela de depósito nem acesso ao painel de trading. Isso garante que cada novo alvo chegue através de uma rede de afiliados, não por busca orgânica — o que dificulta enormemente a detecção por motores de busca e ferramentas de análise de reputação.

Após o registro, que exige número de telefone e código SMS, o usuário deposita cripto e vê um painel de “trading” com movimentos fictícios gerados por algoritmo. A interface é convincente: gráficos em tempo real, histórico de operações, saldo aparentemente crescente. Quando a vítima tenta sacar, o sistema bloqueia. O suporte técnico, acessível por chat fora da plataforma, inventa justificativas — erro de sistema, verificação de segurança pendente, taxa de liberação — até que o alvo desista ou, pior, deposite mais tentando “resolver o problema”.

Essa é a mesma dinâmica de sites falsos que o FBI já alertou sobre em outros contextos: fachadas digitais profissionais construídas para enganar.

Risco para o Brasil

O Brasil é o maior mercado de criptomoedas da América Latina, com milhões de usuários ativos em corretoras digitais. Essa combinação de adoção massiva e exposição a golpes torna o país um alvo prioritário. Os sites mapeados pela Infoblox atingem falantes de pelo menos oito idiomas, incluindo português, e operam em todos os continentes.

O phishing do WhatsApp é particularmente perigoso no contexto brasileiro, onde o mensageiro é praticamente onipresente tanto no uso pessoal quanto profissional. Domínios como “security-whatsapp-center[.]com” são projetados para capturar credenciais de usuários que buscam ajuda com segurança da conta ou recuperação de acesso — um cenário comum e que gera urgência na vítima, facilitando o engano.

O esquema de código de convite e recrutamento via WhatsApp também é um padrão já documentado em golpes financeiros que operam em massa no Brasil, com variações que usam nomes de bancos, corretoras e até apps do governo como fachada.

Sinais de alerta essenciais

Plataformas de investimento que exigem código de convite para registrar seguem o padrão central de pirâmides financeiras digitais — sem o código, não há como depositar, e sem depositar não há como perder. Esse mecanismo garante que cada vítima seja trazida por uma rede de recrutadores, não por busca orgânica.

Verifique sempre o domínio oficial de qualquer serviço. O WhatsApp jamais opera domínios como “whats-zwp[.]vip” ou “security-whatsapp-center[.]com”. Qualquer página que se passe por centro de ajuda ou segurança de um serviço conhecido, usando domínios alternativos, é phishing.

O mesmo vale para páginas de “verificação” de BNB Chain ou Tether que pedem para conectar sua carteira digital. Blockchains e exchanges legítimas não operam dessa forma. Se um investimento promete retornos acima do mercado sem explicar o risco envolvido, a probabilidade de ser golpe se aproxima de 100%.

Antes de depositar qualquer valor, pesquise o nome da plataforma em fóruns como Reddit, Reclame Aqui e sites especializados em análise de scams. Mantenha autenticação de dois fatores ativada em todas as contas financeiras e de mensageria. Essas camadas básicas de segurança impedem a maioria dos acessos não autorizados mesmo que suas credenciais sejam vazadas.

Referências