O Google endurece as regras para apps fora da Play Store

Agora o Google está apertando de forma agressiva as regras para apps fora da Play Store.

Quem quiser instalar, no futuro, aplicativos de fontes não oficiais em um smartphone Android vai precisar de tempo, paciência e noções técnicas básicas. O Google está reforçando de forma sistemática a camada de segurança e transformando o chamado sideloading em um complicado “modo profissional”. A meta é frear golpistas sem fechar o Android por completo. Ainda assim, para muita gente que gosta da plataforma, isso soa como uma quebra de uma promessa central.

O que o Google vai mudar e a partir de quando

O debate atual começou por causa de uma nova arquitetura de segurança que o Google passará a implementar globalmente, de forma gradual, a partir de 2026. O ponto central são exigências mais rígidas para desenvolvedores que desejam distribuir seus apps em dispositivos Android certificados.

A lógica é simples: quem divulga aplicativos precisa comprovar sua identidade ao Google. Com isso, a empresa quer dificultar lojas falsas, apps bancários fraudulentos e ferramentas de suporte clonadas, usados para atrair vítimas de maneira direcionada.

O Google quer evitar dois extremos: um caos inseguro para iniciantes e um sistema totalmente trancado para profissionais.

Depois de forte reação da comunidade, o Google desenhou uma espécie de modelo de compromisso. A empresa mantém a checagem de identidade para desenvolvedores, mas abre uma porta alternativa para quem, de forma consciente, quiser usar apps de fontes não verificadas. Essa porta se chama “Advanced Flow” - e foi criada para ser deliberadamente incômoda.

O novo “Advanced Flow”: instalação de APK fora da loja em quatro etapas difíceis

Quem quiser instalar, no futuro, um arquivo APK não verificado terá de seguir um processo em várias fases. Tecnicamente, é simples; na prática, a experiência é feita para ser irritante de propósito.

Etapa 1: ativar as opções de desenvolvedor

Na primeira fase, o usuário precisa habilitar o modo desenvolvedor nas configurações do sistema. Isso já é conhecido de quem usa, por exemplo, depuração USB ou determinadas funções de teste. Assim, o usuário deixa claro: “sei que estou entrando em um terreno avançado”.

Etapa 2: confirmar sem pressão externa

Depois disso, o Android exige uma confirmação explícita de que a decisão é voluntária e não está sendo tomada sob pressão. O motivo são golpes em que criminosos convencem vítimas por telefone ou acesso remoto a instalar aplicativos perigosos - supostamente para “ajudar a resolver um problema”.

Etapa 3: reinício obrigatório contra acesso remoto

Em seguida, o aparelho é forçado a reiniciar. À primeira vista, a medida parece desnecessária, mas ela mira um problema bem específico: interromper conexões remotas ativas. Quem estiver sendo “guiado” por um golpista via suporte remoto perde esse contato, e a tentativa de manipulação é cortada.

Etapa 4: espera de 24 horas e liberação biométrica

Depois da reinicialização, começa uma contagem regressiva de 24 horas. Só quando esse prazo termina é que a instalação propriamente dita de um app não verificado pode começar - protegida por impressão digital, reconhecimento facial ou PIN.

Então o Android oferece duas opções:

• permitir instalações de fontes não verificadas por sete dias
• ou liberar de forma permanente - para quem tem absoluta certeza do que está fazendo

Cada etapa enfrenta um truque típico de golpistas: sensação artificial de urgência, instrução contínua por telefone e insistência repetida. A pausa de 24 horas funciona como uma “fase de esfriamento” embutida - quem foi pego de surpresa deve ganhar tempo para pensar com calma.

Contexto: por que o Google está agindo com tanta firmeza

O Google se apoia em números alarmantes. Segundo um relatório da Global Anti-Scam Alliance, 57 por cento dos adultos entrevistados tiveram contato com tentativas de fraude ao longo de um ano. O prejuízo estimado chega a 442 bilhões de dólares em todo o mundo.

Muitos desses ataques seguem o mesmo roteiro: alguém que se passa por funcionário de banco, técnico de suporte ou entregador liga, cria pressão (“aja agora, ou sua conta será bloqueada!”) e conduz a vítima passo a passo na instalação de um app adulterado. É exatamente aí que o “Advanced Flow” entra.

A barreira precisa ser alta o suficiente para impedir instalações fraudulentas por impulso, mas ainda baixa o bastante para que usuários conscientes mantenham sua liberdade.

Não está claro se esse equilíbrio vai funcionar. Em fóruns e comunidades de desenvolvedores, o descontentamento já aparece: muita gente vê o DNA do Android sendo atingido - aquela promessa de poder instalar apps a qualquer momento, de qualquer fonte.

Novas contas gratuitas para estudantes e desenvolvedores amadores

Para evitar que o Android vire apenas uma plataforma de profissionais e grandes empresas, o Google também vai criar as chamadas “Limited Distribution Accounts”. Essas contas foram pensadas para estudantes, entusiastas e desenvolvedores amadores que desejam testar seus projetos ou compartilhá-los em pequena escala.

O que essas contas fazem - e o que não fazem

Os principais pontos são estes:

• sem taxa de cadastro e sem exigência de verificação de identidade
• distribuição de um app para até 20 dispositivos
• ideal para projetos universitários, testes beta privados ou pequenas ferramentas entre amigos

Assim, o Google cria algo como um ambiente protegido para experimentação. Quem quiser crescer depois ou comercializar um app precisará migrar para as contas de desenvolvedor regulares e verificadas.

Três caminhos para instalar apps fora da Play Store - mas nenhum totalmente livre

A partir de agosto de 2026, basicamente haverá três formas de levar um app Android para um aparelho sem recorrer ao download clássico pela Play Store:

• instalação pela Play Store com contas de desenvolvedor verificadas
• distribuição por “Limited Distribution Accounts” com alcance limitado
• instalação de APK fora da loja por meio do “Advanced Flow”, a partir de fontes não verificadas

A nova estrutura começa primeiro em países como Brasil, Indonésia, Singapura e Tailândia, antes de ser expandida globalmente em 2027. Com isso, o Google testa o modelo inicialmente em mercados onde golpes ligados a apps bancários e de pagamento são especialmente agressivos.

O que isso significa para usuários avançados e fãs de ROMs personalizadas

Para usuários ambiciosos, o Advanced Flow é, acima de tudo, um consumidor de tempo. Quem baixa regularmente APKs de lojas alternativas, fóruns ou do GitHub precisará lidar com esperas recorrentes e checagens de segurança - pelo menos no começo.

Por outro lado, há um aspecto positivo: depois que o processo é concluído uma vez e a liberação permanente é escolhida, o uso tende a voltar a ser relativamente normal. Mesmo assim, sobra um gosto amargo: a liberdade que sempre diferenciou o Android do iOS passa a parecer menos espontânea e mais trabalhosa.

Os cenários mais afetados incluem:

• testes de compilações experimentais ou versões beta de pequenos desenvolvedores
• uso de lojas alternativas de apps em países com oferta limitada
• ROMs personalizadas e ferramentas que não devem passar pelo processo de verificação do Google

Segurança vs. liberdade: como usar as novas regras a seu favor

No dia a dia de usuários comuns, a mudança pode trazer vantagens reais. Muita gente simplesmente não sabe quais riscos existem por trás de um link aleatório para download. Para esse público, o Advanced Flow funciona como um guia embutido, que freia ações arriscadas.

Já quem entende bem do assunto deve observar alguns cuidados:

• testar o novo fluxo com antecedência em um aparelho de testes, antes que ele afete dispositivos de uso principal
• usar desbloqueio biométrico para não alongar o processo sem necessidade
• instalar apenas APKs de desenvolvedores em quem realmente confia

Justamente a combinação entre verificação de identidade para desenvolvedores e sideloading mais difícil pode frear com força a disseminação dos trojans bancários clássicos. Muitos ataques só compensam quando a entrada é trivial. Se a porta de entrada ficar trabalhosa, os criminosos costumam buscar outros caminhos.

O que significam termos como “sideloading” e “verificação de identidade”

Sideloading é simplesmente a instalação de um app fora da loja oficial - por exemplo, por meio de download de APK em um navegador ou por uma loja alternativa de aplicativos. Tecnicamente, essa foi uma das liberdades centrais do Android.

A verificação de identidade significa que o Google não está checando apenas um endereço de e-mail, mas registrando empresas ou pessoas reais: com documento, dados corporativos ou outros comprovantes. O objetivo é impedir desenvolvedores golpistas de ocasião, que após aplicar um golpe reaparecem com outro nome.

No longo prazo, isso deve empurrar o Android para um ecossistema mais controlado, sem torná-lo totalmente fechado. Quem buscar máxima liberdade provavelmente vai se voltar com mais frequência para nichos como ROMs personalizadas sem serviços do Google ou para ecossistemas alternativos. Para a maioria dos usuários, o sistema ficará mais seguro - e um pouco mais incômodo para quem gosta de experimentar.