O Google anunciou uma nova camada de proteção para o Android que pode mudar significativamente a forma como usuários instalam aplicativos fora da Play Store. A empresa revelou um novo “fluxo avançado” de sideloading que exigirá uma espera obrigatória de 24 horas antes da instalação de apps distribuídos por desenvolvedores não verificados. A medida busca reforçar a segurança da plataforma sem eliminar completamente a flexibilidade histórica do ecossistema Android.

O sideloading é o processo de instalar aplicativos manualmente, sem utilizar a loja oficial do sistema. Embora esse recurso seja valorizado por usuários avançados, desenvolvedores independentes e comunidades de software livre, ele também é frequentemente explorado por hackers para disseminar malware, golpes financeiros e aplicativos adulterados. Segundo o Google, a nova política tenta reduzir justamente esse tipo de abuso, dificultando ataques que dependem de pressão psicológica, urgência ou manipulação do usuário em tempo real.

A novidade surge em meio ao plano da companhia de exigir que todos os aplicativos Android sejam publicados por desenvolvedores verificados para que possam ser instalados em dispositivos Android certificados. Essa exigência já havia sido anunciada anteriormente e tem como objetivo permitir que o Google identifique maus atores com mais rapidez, além de dificultar a distribuição de aplicativos maliciosos. Na prática, a empresa quer criar um modelo em que a abertura do Android continue existindo, mas com mais barreiras contra fraudes.

Um dos principais cenários que preocupam o Google envolve golpes em que criminosos convencem usuários a instalar aplicativos manualmente e, durante esse processo, conceder permissões elevadas. Isso pode permitir, por exemplo, desativar o Play Protect, sistema nativo de proteção contra malware presente em aparelhos Android certificados. Ao obter esse tipo de acesso, o invasor ganha espaço para assumir o controle do dispositivo, roubar credenciais, monitorar atividades ou realizar fraudes bancárias.

Para reduzir esse risco, o novo processo exigirá várias etapas adicionais antes que um app de um desenvolvedor não verificado possa ser instalado. O usuário precisará ativar o modo de desenvolvedor nas configurações do sistema, confirmar que está executando a ação por vontade própria e que não está sendo orientado por terceiros, reiniciar o aparelho e se autenticar novamente. Em seguida, haverá uma espera obrigatória de 24 horas. Após esse prazo, será necessário confirmar novamente a decisão usando biometria ou PIN do dispositivo.

Somente depois de concluir todas essas etapas será possível instalar aplicativos de desenvolvedores não verificados. O Google informou que essa permissão poderá ser concedida por tempo limitado, como sete dias, ou de forma contínua, desde que o usuário compreenda os riscos envolvidos. A lógica por trás da mudança é simples: a maioria dos golpes depende de urgência e manipulação imediata. Ao impor uma pausa de 24 horas, o Google acredita que aumenta as chances de a vítima perceber a fraude antes de concluir a instalação.

Segundo Sameer Samat, presidente do ecossistema Android, esse intervalo torna muito mais difícil a persistência do ataque. A avaliação da empresa é que, nesse período, o usuário pode descobrir que a suposta emergência era falsa — como uma alegação de prisão de um familiar ou um alerta fraudulento sobre comprometimento da conta bancária — e interromper o processo antes de entregar acesso ao invasor.

Ao mesmo tempo, a iniciativa reacendeu críticas de parte da comunidade de tecnologia. Mais de 50 desenvolvedores e marketplaces, entre eles F-Droid, Brave, Electronic Frontier Foundation, Proton, Tor Project e Vivaldi, têm contestado as novas exigências de verificação. Para esse grupo, as mudanças podem criar barreiras para pequenos desenvolvedores, aumentar o atrito para distribuição independente e levantar preocupações com privacidade, especialmente pela falta de clareza sobre quais dados pessoais precisarão ser fornecidos, como essas informações serão armazenadas, protegidas e eventualmente compartilhadas com autoridades.

Como tentativa de amenizar essas críticas, o Google afirmou que lançará contas gratuitas de “distribuição limitada”, voltadas para estudantes, hobbystas e desenvolvedores independentes. Esse modelo permitirá compartilhar aplicativos com até 20 dispositivos sem exigir documento oficial emitido pelo governo nem taxa de registro. A proposta é preservar um caminho viável para quem desenvolve fora dos grandes ecossistemas comerciais, sem abrir completamente mão dos controles de segurança.

A companhia destacou ainda que o novo fluxo avançado não se aplica a instalações feitas por meio do Android Debug Bridge (ADB), ferramenta normalmente usada por desenvolvedores e profissionais técnicos. Isso indica que o Google está tentando segmentar melhor os diferentes perfis de uso, restringindo mais fortemente os cenários considerados mais exploráveis por golpistas, sem comprometer totalmente os ambientes de desenvolvimento legítimos.

De acordo com o cronograma divulgado, tanto as contas de distribuição limitada quanto o novo fluxo avançado para sideloading estarão disponíveis em agosto de 2026. Já a exigência formal de verificação para desenvolvedores deve entrar em vigor no mês seguinte. A mensagem central do Google é que uma abordagem única para todo o ecossistema não funciona e que diferentes trilhas serão oferecidas para equilibrar segurança, abertura e acessibilidade.

O anúncio acontece em um momento de pressão crescente sobre a segurança no Android. Paralelamente, foi identificada uma nova ameaça chamada Perseus, malware para Android que estaria mirando usuários na Turquia e na Itália com foco em tomada de controle do dispositivo e fraudes financeiras. Nos últimos quatro meses, pelo menos 17 famílias de malware Android foram observadas em circulação, incluindo nomes como FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, SURXRAT, Phantom, Massiv, BeatBanker, Mirax e Oblivion RAT.

Esse contexto ajuda a explicar por que o Google está endurecendo as regras para instalação fora da Play Store. Embora o sideloading continue sendo um recurso importante para liberdade do usuário e distribuição alternativa de software, ele também se tornou um dos caminhos preferidos para campanhas de infecção, takeover de dispositivos e golpes bancários. O desafio agora será encontrar o ponto de equilíbrio entre segurança real e preservação da natureza aberta que sempre diferenciou o Android de outras plataformas móveis.