Universe Browser age como espião de cibercriminosos
Pesquisadores da Infoblox, em cooperação com o Escritório das Nações Unidas sobre Drogas e Crime (UNODC), identificaram que o Universe Browser, um navegador que promete “evitar vazamentos de privacidade”, encaminha tráfego para servidores de command-and-control (C2) na China, Hong Kong e Taiwan, instala componentes persistentes, oculta extensões e monitora o usuário.
O software imita o Google Chrome, mas bloqueia ferramentas de desenvolvedor, altera configurações de rede e registra atividade do teclado — tudo sob a fachada de segurança. Este artigo explica como o browser atua, quem está por trás, os riscos para as vítimas e como se proteger.
Tabela de conteúdos
O que é o Universe Browser e onde ele está disponível
O Universe Browser tem versões para Windows e Android por download direto e também aparece na App Store para iOS. A interface replica a aparência do Chrome, mas com várias limitações impostas ao usuário: o clique com o botão direito é desativado, a página de configurações é restringida e as ferramentas de desenvolvedor ficam inacessíveis. Essa combinação impede que usuários e analistas verifiquem o que está ocorrendo nos bastidores.
O que os pesquisadores encontraram na engenharia reversa
Ao analisar a versão para Windows, a Infoblox identificou rotinas típicas de malware e técnicas anti-VM (para detectar máquinas virtuais) e anti-AV (para burlar antivírus). O navegador coleta imediatamente dados como geolocalização aproximada e idioma do sistema. Em seguida, aguarda um intervalo (tática de evasão) e se conecta a endereços IP ligados à sua infraestrutura de C2 na China, em Hong Kong e em Taiwan — relacionando-se ao grupo criminoso Vault Viper, apontado como operador da campanha.
Como o browser opera: persistência, extensões e monitoramento
O Universe Browser instala serviços e tarefas persistentes para executar em segundo plano sem interação do usuário. Duas extensões são empacotadas: uma captura e envia screenshots para um domínio controlado pelos criminosos; a outra verifica se o usuário acessa sites de jogos de azar associados ao Vault Viper. Além disso, há indícios de keylogging e de manipulação das configurações de proxy e DNS, o que permite redirecionar tráfego e filtrar conexões sensíveis.
| Componente | Comportamento | Risco principal |
| Serviços persistentes | Executam ocultos no sistema | Sobrevivem a reinicializações |
| Extensão de screenshots | Captura tela e envia a C2 | Exfiltração de dados |
| Extensão de detecção de cassinos | Monitora sites acessados | Perfil de vítima e fraude |
| Bloqueio de DevTools | Imita Chrome, mas restringe | Oculta a atividade maliciosa |
Quem está por trás: Vault Viper e a mira em cassinos online
Segundo a Infoblox, o Universe Browser é promovido por sites vinculados a uma empresa desenvolvedora de jogos para cassinos online que teria laços com o cluster Vault Viper. O apelo comercial é prometer driblar bloqueios regulatórios a jogos de azar em países asiáticos. Essa engenharia social atrai jogadores — especialmente os de maior poder aquisitivo — para dentro do ecossistema do navegador.
“Cada site de cassino operado pelo grupo tem um link e uma propaganda para o Universe Browser.”
Maël Le Touz, pesquisador da Infoblox, à revista Wired (fonte)
Para os investigadores, o browser funciona como funil de vítimas: identifica quem gasta, acompanha o comportamento online e, quando conveniente, pode aplicar golpes, sequestrar contas e extrair dados pessoais e financeiros. Trata-se de uma cadeia de fraude com componentes de lavagem de dinheiro e de operações transnacionais.
Vínculos com “fábricas de golpes” e exploração de trabalhadores
Relatos associados ao Vault Viper conectam o grupo a redes criminosas que recrutam, enganam e forçam pessoas de dezenas de países a trabalhar em fábricas de golpes no Sudeste Asiático (Mianmar, Laos, Camboja). A UNODC tem documentado esse fenômeno e apoiou a Infoblox na análise dos indicadores de compromisso (IoCs) do Universe Browser. Uma parte significativa desses golpes começa atraindo interessados em jogos de azar online, que se tornam alvos para extorsão e furto de credenciais.
Como se proteger e o que fazer se você instalou o Universe Browser
- Desinstale o navegador: em Windows, remova pelo “Aplicativos e Recursos” e elimine pastas residuais em
%AppData%eProgram Files. - Revise inicialização e serviços: use
msconfige o Gerenciador de Tarefas para desabilitar entradas suspeitas associadas ao Universe Browser. - Cheque extensões: no Chrome/Edge/Firefox, remova add-ons desconhecidos; procure por extensões que capturam tela ou monitoram navegação.
- Restaure rede: redefina proxy/DNS para automático e limpe regras de firewall criadas recentemente.
- Faça varredura com antivírus/EDR: rode um scan completo e, se possível, utilize uma ferramenta offline para detectar persistência.
- Monitore contas: troque senhas, habilite autenticação em dois fatores (2FA) e verifique logins suspeitos em e-mail e redes sociais.
- Consulte IoCs: compare domínios/IPs divulgados pela Infoblox com o histórico do seu roteador e do sistema.
Se o seu navegador bloqueia o botão direito, oculta DevTools e cria processos persistentes sem explicação, trate como incidente de segurança: isole o dispositivo e proceda à limpeza.
Fontes e notas de transparência
- Relatório técnico da Infoblox sobre o cluster Vault Viper (indicadores de compromisso e análise de engenharia reversa): leia aqui.
- Matéria da revista Wired com declarações de pesquisadores: acesso.
- Contexto da UN News sobre “fábricas de golpes” no Sudeste Asiático: saiba mais.
Universe Browser é malware ou apenas um navegador inseguro?
Resposta direta: é um navegador com comportamentos de spyware. Extensão: ele conecta-se a infraestrutura C2, instala serviços persistentes e coleta dados (telas, navegação, possivelmente keylogs), segundo a Infoblox. Validação: achados foram apoiados pela UNODC e citados pela Wired, reforçando a confiabilidade da análise técnica.
Como remover o Universe Browser no Windows com segurança?
Resposta direta: desinstale e limpe persistências. Extensão: remova pelo painel, apague pastas em %AppData% e Program Files, desabilite tarefas agendadas/serviços, redefina proxy/DNS, e rode antivírus/EDR. Validação: siga IoCs e procedimentos de resposta a incidentes recomendados pela Infoblox.
O app listado na App Store é confiável?
Resposta direta: evite instalar o Universe Browser. Extensão: apesar da triagem da Apple, a campanha amplia a superfície de ataque e replica bloqueios de DevTools; prefira navegadores reconhecidos. Validação: evidências técnicas apontam conexões a C2 e extensões ocultas atribuídas ao Vault Viper.
O que é command-and-control (C2) e por que importa?
Resposta direta: C2 é o servidor que coordena o malware. Extensão: por meio do C2, criminosos enviam comandos, recebem dados e atualizam módulos, mantendo controle remoto. Validação: a Infoblox mapeou IPs na China, Hong Kong e Taiwan ligados à campanha do Universe Browser.
Quais sinais de alerta indicam infecção (IoCs)?
Resposta direta: comportamento anômalo do navegador. Extensão: DevTools bloqueadas, botão direito desativado, conexões a IPs na Ásia, criação de serviços e captura de tela involuntária. Validação: compare com IoCs publicados no relatório técnico da Infoblox.
Considerações finais
O Universe Browser exemplifica uma tendência perigosa: produtos que se vendem como “privados” enquanto operam como plataformas de espionagem e fraude. A análise da Infoblox, com apoio da UNODC, mostra ligações técnicas e comerciais com o grupo Vault Viper, forte ênfase em cassinos online e a utilização de técnicas de persistência e exfiltração típicas de malware. Se você instalou o navegador, trate o caso como incidente, remova-o, revise seu ambiente e mude credenciais. Em segurança digital, promessas sem transparência costumam cobrar um preço alto.
