Android

Pesquisadores da ESET identificaram o PromptSpy, o primeiro malware para Android que utiliza inteligência artificial generativa para aprimorar suas capacidades de ataque. Embora ainda seja uma prova de conceito, o malware é projetado para fornecer controle remoto sobre dispositivos infectados, utilizando um módulo de computação de rede virtual (VNC). O PromptSpy interage com o chatbot Gemini da Google, enviando comandos em linguagem natural para manipular o dispositivo atacado. Isso permite que os hackers adaptem seus ataques a diferentes versões do sistema operacional Android.

Pesquisadores da Threat Fabric identificaram um novo trojan bancário chamado Massiv, que está sendo distribuído por meio de aplicativos disfarçados de IPTV. Este malware tem sido utilizado em campanhas fraudulentas em diversos países, especialmente no sul da Europa. O Massiv possui funcionalidades avançadas, como overlay, keylogging e interceptação de SMS, permitindo que os hackers capturem credenciais e dados financeiros das vítimas. Um dos alvos do ataque foi o aplicativo gov.pt, utilizado em Portugal para autenticação digital, o que levanta preocupações sobre a segurança de informações sensíveis. Os hackers podem abrir contas em nome das vítimas e realizar transações fraudulentas, utilizando um canal WebSocket para controle remoto dos dispositivos infectados. A ameaça é particularmente atrativa para os usuários devido à promessa de serviços premium em aplicativos IPTV, levando-os a baixar APKs maliciosos. Embora o Massiv ainda não seja um malware-as-a-service, há indícios de que essa possibilidade possa surgir em breve, aumentando a disseminação do malware.

Recentemente, foi identificado que mais de um bilhão de smartphones Android, representando cerca de 42% dos dispositivos ativos, estão vulneráveis a malwares devido a falhas de segurança que não serão corrigidas. Essa situação afeta principalmente aparelhos que operam com Android 12 ou versões anteriores, que não receberão mais atualizações de segurança. A fragmentação do sistema operacional entre diferentes fabricantes dificulta a aplicação de correções em massa, tornando esses dispositivos alvos fáceis para hackers.

Pesquisadores da ESET identificaram o primeiro malware Android conhecido a utilizar IA generativa em sua execução, denominado ‘PromptSpy’. Este malware se aproveita do modelo Gemini da Google para adaptar sua persistência em diferentes dispositivos. A descoberta ocorreu em fevereiro de 2026, com a primeira versão, chamada VNCSpy, sendo detectada em janeiro do mesmo ano. O PromptSpy utiliza a IA para enviar comandos que permitem ’travar’ aplicativos na lista de aplicativos recentes, dificultando sua remoção. Essa técnica é especialmente eficaz, pois varia entre fabricantes, e a IA ajuda a automatizar o processo. Além de sua capacidade de persistência, o PromptSpy atua como spyware, permitindo acesso remoto completo aos dispositivos infectados, podendo capturar senhas, gravar a tela e interceptar informações sensíveis. Para dificultar a desinstalação, o malware sobrepõe botões invisíveis sobre a interface do usuário. Embora a ESET ainda não tenha observado o PromptSpy em sua telemetria, a presença de domínios dedicados para distribuição sugere que ele pode ter sido utilizado em ataques reais. Essa nova abordagem de malware destaca como a IA generativa pode ser utilizada para aprimorar a eficácia de ataques cibernéticos, representando uma preocupação crescente para a segurança digital.

O Google anunciou que, até 2025, bloqueou mais de 255 mil aplicativos Android que tentavam obter acesso excessivo a dados sensíveis dos usuários e rejeitou mais de 1,75 milhão de aplicativos por violação de políticas. Em sua revisão anual de segurança do Android e Google Play, a empresa destacou a eficácia das medidas de proteção implementadas para manter um ecossistema seguro. Para isso, foram realizados mais de 10 mil checagens de segurança em aplicativos publicados, e a detecção de padrões maliciosos foi aprimorada com a integração de modelos de IA generativa. Entre as ações de proteção, o Google baniu mais de 80 mil contas de desenvolvedores considerados ruins e bloqueou 266 milhões de tentativas de instalação de aplicativos arriscados. O Play Protect, que verifica diariamente mais de 350 bilhões de aplicativos, identificou mais de 27 milhões de aplicativos maliciosos que foram instalados fora do Google Play. Além disso, novas proteções contra ataques de ’tapjacking’ foram adicionadas no Android 16. O Google continuará investindo em defesas baseadas em IA e expandindo a verificação de desenvolvedores para prevenir violações de políticas antes da publicação dos aplicativos.

Pesquisadores de cibersegurança identificaram o PromptSpy, o primeiro malware para Android que utiliza o chatbot de inteligência artificial Gemini, da Google, para executar suas funções maliciosas e garantir sua persistência no dispositivo. O PromptSpy é capaz de capturar dados da tela de bloqueio, bloquear tentativas de desinstalação, coletar informações do dispositivo, tirar capturas de tela e gravar a atividade da tela em vídeo. O malware se comunica com um servidor de comando e controle para receber instruções sobre como interagir com a interface do usuário, utilizando a IA para adaptar suas ações a diferentes dispositivos e versões do sistema operacional. O principal objetivo do PromptSpy é implantar um módulo VNC que permite acesso remoto ao dispositivo da vítima. A análise sugere que a campanha é motivada financeiramente e direcionada a usuários na Argentina, com indícios de que o malware foi desenvolvido em um ambiente de língua chinesa. O PromptSpy é distribuído por um site dedicado e não está disponível no Google Play, o que aumenta o risco de infecção para os usuários desavisados.

Um novo malware bancário para Android, denominado Massiv, está se disfarçando como um aplicativo de IPTV para roubar identidades digitais e acessar contas bancárias online. O malware utiliza sobreposições de tela e keylogging para obter dados sensíveis e pode assumir o controle remoto de dispositivos comprometidos. Pesquisadores da ThreatFabric observaram uma campanha que visava um aplicativo do governo português, que se conecta ao sistema de autenticação digital Chave Móvel Digital. Os dados obtidos podem ser usados para contornar verificações de KYC e acessar serviços bancários e públicos. O Massiv permite que os operadores controlem remotamente o dispositivo infectado, utilizando modos de transmissão ao vivo e extração de dados estruturados. A pesquisa também destacou uma tendência crescente de uso de aplicativos IPTV como iscas para infecções por malware, especialmente em países como Portugal, Espanha, França e Turquia. Os usuários de Android são aconselhados a baixar apenas aplicativos de fontes confiáveis e a manter o Play Protect ativo para proteger seus dispositivos.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan para Android chamado Massiv, que facilita ataques de tomada de controle de dispositivos (DTO) visando o roubo financeiro. O malware se disfarça como aplicativos IPTV inofensivos, atraindo usuários em busca de serviços de TV online. Segundo a ThreatFabric, o Massiv permite que os operadores controlem remotamente dispositivos infectados, realizando transações fraudulentas nas contas bancárias das vítimas.

Entre suas funcionalidades, o Massiv utiliza técnicas como streaming de tela, keylogging e sobreposições falsas em aplicativos financeiros, solicitando que os usuários insiram suas credenciais. Um dos alvos identificados foi o aplicativo gov.pt, que gerencia documentos de identificação em Portugal. Os criminosos têm usado as informações capturadas para abrir contas bancárias em nome das vítimas, facilitando atividades como lavagem de dinheiro.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova plataforma de spyware móvel chamada ZeroDayRAT, que está sendo promovida no Telegram como uma ferramenta para roubar dados sensíveis e facilitar a vigilância em tempo real em dispositivos Android e iOS. O malware é projetado para suportar versões do Android de 5 a 16 e do iOS até a versão 26, sendo distribuído principalmente por meio de engenharia social e marketplaces de aplicativos falsos.

Um novo spyware, conhecido como ZeroDayRAT, está sendo comercializado no Telegram e visa dispositivos Android e iOS, permitindo que hackers tenham acesso remoto completo a câmeras, microfones e dados pessoais dos usuários. De acordo com a pesquisa da iVerify, o malware é capaz de gerenciar aparelhos comprometidos, coletando informações financeiras e espiando em tempo real. O spyware é descrito como um ‘kit de ferramentas completo’ que permite aos cibercriminosos monitorar as vítimas por meio de um painel de controle, que fornece dados sobre o modelo do dispositivo, versão do sistema operacional, status da bateria e localização geográfica. Além disso, o ZeroDayRAT pode ativar câmeras e microfones, registrar senhas e padrões de desbloqueio, e roubar informações de aplicativos financeiros, como Google Pay e Apple Pay. Especialistas alertam que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção por esse tipo de malware.

Um novo malware disfarçado de aplicativo de antivírus, chamado ‘TrustBastion’, tem enganado usuários de dispositivos Android, oferecendo uma falsa sensação de segurança enquanto rouba informações sensíveis. Especialistas da Bitdefender alertam que o aplicativo, que se apresenta como uma solução de proteção, na verdade monitora o aparelho em tempo real, coletando senhas e credenciais de login de aplicativos de mensagens e bancos. O golpe começa com anúncios que alertam sobre uma suposta infecção no smartphone, levando o usuário a instalar o TrustBastion para ‘remover’ a ameaça. Após a instalação, o aplicativo solicita uma atualização que instala um arquivo APK malicioso, permitindo que os hackers monitorem a tela do dispositivo e capturem dados sensíveis, como PINs e padrões de desbloqueio. A situação é agravada pela capacidade dos criminosos de gerar novas variantes do malware a cada 15 minutos, dificultando sua detecção. Para se proteger, os especialistas recomendam que os usuários instalem aplicativos apenas na Play Store, a loja oficial do Google.

Um comunicado da Google revelou que mais de 40% dos celulares Android estão vulneráveis a ataques de malwares e spywares devido à recente atualização do sistema operacional, o Android 16. Isso representa mais de um bilhão de dispositivos sem atualizações de segurança críticas. Atualmente, apenas 7,5% dos celulares estão com o Android 16 instalado, enquanto a maioria ainda opera com versões anteriores, como Android 15, 14 e 13, que também não recebem suporte adequado. A fragmentação do sistema Android, causada pela diversidade de fabricantes, contribui para essa situação, já que muitos modelos mais antigos não recebem atualizações de segurança após dois ou três anos de uso. Isso gera uma vulnerabilidade de patch, onde falhas conhecidas são exploradas por hackers. A Google tenta mitigar esse problema com o Project Mainline, que atualiza componentes específicos do Android diretamente pela Play Store, mas essa solução é limitada. Para os usuários de dispositivos que não receberão mais suporte, a recomendação é considerar a troca de aparelho para evitar riscos de segurança, como ataques de ransomware e roubo de dados pessoais.

Uma nova plataforma de spyware móvel chamada ZeroDayRAT está sendo promovida em canais de cibercrime, como o Telegram, oferecendo controle remoto total sobre dispositivos Android e iOS comprometidos. O malware, que suporta versões do Android de 5 a 16 e iOS até a versão 26, não apenas rouba dados, mas também permite vigilância em tempo real e roubo financeiro. O painel de controle do ZeroDayRAT fornece informações detalhadas sobre os dispositivos infectados, como modelo, versão do sistema operacional, status da bateria e localização. Além do registro passivo de dados, o malware pode ativar câmeras e microfones, capturar senhas e até contornar autenticações de dois fatores (2FA) ao interceptar senhas temporárias. Um módulo específico para roubo de criptomoedas busca aplicativos como MetaMask e Binance, enquanto outro foca em aplicativos bancários. A entrega do malware não foi detalhada, mas especialistas alertam que um dispositivo comprometido pode resultar em brechas significativas para empresas. Para se proteger, recomenda-se que os usuários confiem apenas em lojas de aplicativos oficiais e considerem ativar modos de proteção avançados em seus dispositivos.

As TVs conectadas à internet, especialmente aquelas com sistema Android, tornaram-se alvos preferidos de hackers devido à sua vulnerabilidade e à falta de medidas de segurança adequadas. Diferente de computadores e smartphones, as TVs geralmente não recebem atualizações de segurança regulares, o que as torna um terreno fértil para ataques cibernéticos. Um exemplo alarmante é a botnet Aisuru, que utilizou TVs Android hackeadas para realizar um dos maiores ataques DDoS da história, com 200 milhões de solicitações maliciosas por segundo.

A botnet AISURU/Kimwolf foi responsável por um ataque de negação de serviço distribuído (DDoS) que atingiu a marca recorde de 31,4 Terabits por segundo (Tbps) em novembro de 2025, durando apenas 35 segundos. A Cloudflare, que detectou e mitigou automaticamente a atividade, relatou um aumento significativo de ataques DDoS hipervolumétricos, com um crescimento de 121% em 2025, totalizando 47,1 milhões de ataques. Durante a campanha conhecida como ‘The Night Before Christmas’, que começou em 19 de dezembro de 2025, a média dos ataques foi de 4 Tbps, com picos de até 24 Tbps. A botnet comprometeu mais de 2 milhões de dispositivos Android, principalmente TVs Android de marcas não reconhecidas, utilizando redes de proxy residenciais para controlar esses dispositivos. Além disso, a Cloudflare observou que o setor de telecomunicações foi o mais atacado, com países como China, Brasil e EUA figurando entre os mais afetados. O aumento na sofisticação e no tamanho dos ataques representa um desafio crescente para as organizações, que devem reavaliar suas estratégias de defesa.

Recentemente, hackers utilizaram a plataforma Hugging Face para distribuir malware direcionado a dispositivos Android, disfarçado como um aplicativo antivírus chamado TrustBastion. Este aplicativo, ao ser instalado, informa ao usuário que seu dispositivo está infectado e solicita uma atualização, momento em que o código malicioso é efetivamente instalado. O TrustBastion conecta-se a um servidor de terceiros que redireciona para um repositório na Hugging Face, onde o APK malicioso é hospedado. O malware é capaz de capturar capturas de tela, exibir interfaces falsas de login para serviços de pagamento e roubar códigos de bloqueio, enviando todas as informações coletadas para servidores controlados pelos atacantes. Apesar da rápida identificação e remoção do aplicativo, novos repositórios surgiram, indicando a persistência da ameaça. Especialistas recomendam que os usuários baixem aplicativos apenas de fontes confiáveis, como a Google Play Store, e que verifiquem as avaliações e o número de downloads antes de instalar qualquer aplicativo.

Uma nova campanha de malware para Android está utilizando a plataforma Hugging Face como repositório para milhares de variações de um payload APK que coleta credenciais de serviços financeiros e de pagamento populares. A campanha, descoberta pela empresa romena de cibersegurança Bitdefender, começa com a instalação de um aplicativo dropper chamado TrustBastion, que engana os usuários com anúncios alarmantes, alegando que seus dispositivos estão infectados. O aplicativo malicioso se disfarça como uma ferramenta de segurança, prometendo detectar ameaças como fraudes e malware.

O Google anunciou melhorias significativas nas funcionalidades de proteção contra roubo em dispositivos Android, visando tornar os smartphones menos vulneráveis a furtos. As novas medidas, que se baseiam nas defesas anti-furto já existentes desde outubro de 2024, incluem controles mais detalhados para o recurso de Bloqueio por Falha de Autenticação, que agora permite que os usuários ativem ou desativem a função de bloqueio automático após várias tentativas de acesso malsucedidas. Além disso, a empresa expandiu o recurso de Verificação de Identidade, que exige autenticação biométrica para ações realizadas fora de locais confiáveis, abrangendo agora todos os aplicativos que utilizam o Android Biometric Prompt.

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

Um novo tipo de malware para dispositivos Android está utilizando inteligência artificial (IA) para contornar sistemas de segurança convencionais. De acordo com informações do Tech Radar, cibercriminosos estão empregando a plataforma de machine learning TensorFlow, desenvolvida pelo Google, para distribuir trojans através de anúncios maliciosos. A técnica envolve a criação de aplicativos falsos que são disseminados principalmente pela loja GetApps da Xiaomi, além de outros canais como redes sociais e Telegram.

Uma nova família de trojans de cliques para Android está utilizando modelos de aprendizado de máquina do TensorFlow para detectar e interagir automaticamente com elementos publicitários específicos. Ao contrário dos trojans tradicionais que dependem de rotinas de clique em JavaScript, essa nova abordagem realiza uma análise visual baseada em aprendizado de máquina. Os pesquisadores da Dr.Web identificaram que esses malwares estão sendo distribuídos através da loja oficial GetApps de dispositivos Xiaomi, operando em um modo chamado ‘fantasma’, que utiliza um navegador oculto para carregar páginas de anúncios e scripts JavaScript que automatizam ações sobre os anúncios exibidos. Além disso, um segundo modo, denominado ‘sinalização’, permite que os atacantes transmitam um feed de vídeo ao vivo da tela do navegador virtual, possibilitando ações em tempo real. Os trojans são frequentemente incorporados em jogos inicialmente benignos, recebendo funcionalidades maliciosas em atualizações subsequentes. Os pesquisadores alertam que a instalação de aplicativos fora do Google Play, especialmente versões modificadas de aplicativos populares, deve ser evitada, pois isso aumenta o risco de infecção. Embora a fraude de cliques não represente uma ameaça imediata à privacidade dos usuários, ela pode resultar em drenagem da bateria e custos adicionais de dados móveis.

Pesquisadores do laboratório Black Lotus, da Lumen Technologies, conseguiram desativar mais de 550 servidores de comando e controle (C2) das botnets Aisuru e Kimwolf, que operam desde outubro de 2025. A Aisuru, uma das maiores botnets em atividade, é conhecida por realizar ataques DDoS e hospedar tráfego malicioso através de proxies residenciais. A seção Kimwolf, voltada para dispositivos Android, infectou mais de 2 milhões de aparelhos, principalmente TV Boxes, utilizando um SDK malicioso chamado ByteConnect. A botnet não apenas realiza ataques, mas também cobra por serviços de realocação de banda larga e venda de DDoS. A Black Lotus identificou um aumento significativo no número de bots da Kimwolf, que chegou a 800.000 em outubro de 2025. As operações maliciosas se escondem em tráfego comum, dificultando a detecção. A desativação dos servidores é um passo importante, mas os cibercriminosos estão se adaptando rapidamente, mudando para novos IPs e métodos de operação.

A equipe Black Lotus Labs da Lumen Technologies revelou que desde outubro de 2025, mais de 550 nós de comando e controle (C2) associados à botnet AISURU/Kimwolf foram neutralizados. Essas botnets, que afetam principalmente dispositivos Android, têm a capacidade de realizar ataques de negação de serviço distribuído (DDoS) e redirecionar tráfego malicioso para serviços de proxy residencial. A análise do malware Kimwolf, que transforma dispositivos Android TV comprometidos em proxies residenciais, foi detalhada em um relatório da QiAnXin XLab. A botnet já infectou mais de 2 milhões de dispositivos, explorando vulnerabilidades em serviços de proxy. Além disso, houve um aumento significativo no número de bots, com 800 mil novos dispositivos adicionados em um curto período. A infraestrutura C2 da Kimwolf foi observada escaneando serviços em busca de dispositivos vulneráveis, utilizando falhas de segurança para propagar o malware. A situação é preocupante, pois esses dispositivos comprometidos operam sob a aparência de tráfego legítimo, dificultando a detecção por soluções de segurança. A relevância deste incidente é alta, especialmente para empresas que utilizam dispositivos Android em suas operações.

Um relatório da ESET revela que o ecossistema Android na América Latina, especialmente no Brasil e México, continua sendo um alvo preferencial para cibercriminosos. Em 2025, três famílias de malware se destacaram entre as mais detectadas: Trojan.Android/Exploit.CVE-2012-6636, Trojan.Android/Exploit.Lotoor e Trojan.Android/Pandora. A primeira, com mais de uma década, explora vulnerabilidades em aplicativos desatualizados, enquanto a segunda se aproveita de falhas em dispositivos com acesso root. A terceira, uma variante do malware Mirai, transforma dispositivos em botnets para ataques DDoS. A ESET alerta que a fragmentação do sistema Android e o uso prolongado de aparelhos sem atualização contribuem para a persistência dessas ameaças. Recomendações incluem manter o sistema e aplicativos atualizados e evitar downloads de fontes não confiáveis.

Recentemente, a cibersegurança enfrentou desafios significativos, destacando como pequenas falhas podem resultar em grandes consequências. Um exemplo alarmante é a vulnerabilidade crítica na plataforma de automação n8n, identificada como CVE-2026-21858, que permite execução remota de código sem autenticação, potencialmente comprometendo sistemas inteiros. Essa falha, que afeta versões anteriores à 1.121.0, é particularmente preocupante para organizações que utilizam n8n para automatizar fluxos de trabalho sensíveis.

Além disso, o botnet Kimwolf, uma variante do malware Aisuru, infectou mais de dois milhões de dispositivos Android, explorando vulnerabilidades em redes de proxy residenciais. O malware utiliza o Android Debug Bridge (ADB) exposto para executar comandos remotamente, aumentando o risco de comprometimento de dispositivos em redes internas.

A empresa de cibersegurança Synthient revelou a descoberta da botnet Kimwolf, que já comprometeu mais de 2 milhões de dispositivos Android, especialmente TV boxes, no Brasil e em outros países. A botnet, que se conecta a redes proxy residenciais, é uma evolução da botnet Aisuru, que anteriormente havia invadido 1,8 milhões de aparelhos. A Kimwolf utiliza técnicas avançadas de encriptação e comunicação, como DNS sobre TLS e EtherHiding, para evitar detecções e desmantelamentos. Os cibercriminosos monetizam as infecções por meio da venda de SDKs e revenda de banda larga, além de permitir o preenchimento de credenciais em massa. A maioria das infecções foi observada em países como Brasil, Índia, Arábia Saudita e Vietnã. A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas e que usuários verifiquem e destruam dispositivos infectados.

A botnet Kimwolf, que já infectou mais de 2 milhões de dispositivos Android, tem se destacado por sua capacidade de explorar redes de proxy residenciais para disseminar malware. De acordo com a Synthient, a botnet monetiza suas operações através da instalação de aplicativos, venda de largura de banda de proxy residencial e funcionalidade de DDoS. Desde sua primeira documentação pública em dezembro de 2025, Kimwolf tem sido associada a ataques DDoS recordes, principalmente em países como Vietnã, Brasil, Índia e Arábia Saudita. A maioria das infecções ocorre em dispositivos Android que têm o Android Debug Bridge (ADB) exposto, com 67% dos dispositivos conectados à botnet sendo não autenticados e com ADB habilitado por padrão. Além disso, a botnet utiliza endereços IP de proxies alugados, como os oferecidos pela empresa chinesa IPIDEA, para infiltrar-se em redes locais e instalar o malware. A Synthient alerta que a vulnerabilidade expõe milhões de dispositivos a ataques, e recomenda que provedores de proxy bloqueiem solicitações a endereços IP privados para mitigar os riscos.

Um novo golpe está afetando usuários de Android na Turquia, onde criminosos estão utilizando aplicativos relacionados ao sistema jurídico para disseminar um trojan chamado Frogblight, que tem como objetivo roubar dados bancários. O malware foi identificado pela primeira vez em agosto de 2025 e é propagado por meio de smishing, uma técnica de phishing que utiliza mensagens SMS fraudulentas. As vítimas recebem mensagens que alegam envolvimento em processos judiciais ou a possibilidade de receber auxílio financeiro, levando-as a clicar em links que baixam aplicativos maliciosos.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.

Um novo malware chamado Wonderland, que se disfarça como aplicativos legítimos, está sendo utilizado por grupos de ameaças para roubar mensagens SMS de usuários de Android no Uzbequistão. Anteriormente, os atacantes usavam APKs de trojans que atuavam como malware imediatamente após a instalação. Agora, eles estão utilizando aplicativos dropper, que parecem inofensivos, mas contêm um payload malicioso que é ativado localmente após a instalação, mesmo sem conexão com a internet. O Wonderland permite comunicação bidirecional com o servidor de comando e controle (C2), possibilitando o roubo de SMS e a execução de comandos em tempo real. Os atacantes, conhecidos como TrickyWonders, utilizam o Telegram para coordenar suas operações e distribuem o malware através de páginas falsas do Google Play, campanhas publicitárias e contas falsas em aplicativos de namoro. Uma vez instalado, o malware pode interceptar senhas de uso único (OTPs) e acessar informações bancárias dos usuários. A evolução do malware na região mostra um aumento na sofisticação das técnicas utilizadas, tornando a detecção e mitigação mais desafiadoras para os usuários e profissionais de segurança.

A startup suíça Soverli apresentou uma nova abordagem para a segurança em smartphones, que opera em conjunto com Android e iOS, oferecendo uma camada de sistema operacional audível para empresas. Essa inovação permite que múltiplos sistemas operacionais funcionem simultaneamente em um único dispositivo, garantindo que usuários em setores críticos, como serviços de emergência e segurança pública, mantenham suas atividades mesmo se o sistema operacional principal for comprometido. A arquitetura da Soverli possibilita a separação entre ambientes pessoais e profissionais, protegendo dados sensíveis sem sacrificar a funcionalidade do dispositivo. A tecnologia, desenvolvida ao longo de quatro anos na ETH Zurich, utiliza um sistema patenteado que reduz a superfície de ataque e implementa ferramentas de criptografia para proteger informações. A startup já demonstrou a operação de aplicativos de mensagens seguras, como o Signal, dentro dessa camada soberana, assegurando a confidencialidade das comunicações. Com um financiamento inicial de 2,6 milhões de dólares, a Soverli planeja expandir suas operações e parcerias, alinhando-se à crescente demanda por infraestrutura digital auditável na Europa.

Um novo malware, identificado como Cellik, está causando sérios problemas em dispositivos Android. Este trojan de acesso remoto (RAT) é capaz de clonar aplicativos legítimos da Play Store, permitindo que hackers obtenham controle total dos aparelhos das vítimas. O Cellik é comercializado em fóruns da dark web e oferece uma gama de ferramentas para comprometer sistemas, criando uma falsa sensação de legitimidade. Ao instalar o aplicativo comprometido, a vítima permite que o malware acesse a tela do dispositivo, registre teclas digitadas, intercepte notificações e navegue de forma oculta na internet. O Cellik também consegue acessar o sistema de arquivos do aparelho e utilizar cookies armazenados para roubar credenciais de login. O que torna esse malware particularmente perigoso é sua capacidade de se integrar à Play Store, burlando sistemas de segurança como o Google Play Protect, que não consegue detectar a presença do trojan. Essa situação levanta preocupações significativas sobre a segurança dos usuários e a eficácia das medidas de proteção atualmente disponíveis.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

No início de dezembro de 2025, a Google emitiu um alerta sobre vulnerabilidades críticas no sistema operacional Android, identificadas como CVE-2025-48633 e CVE-2025-48572. Essas falhas estão sendo ativamente exploradas, permitindo ataques de negação de serviço (DoS) sem a necessidade de privilégios de administrador. Embora a Google tenha rapidamente disponibilizado uma atualização de segurança para seus dispositivos Pixel, a Samsung, que detém cerca de 30% do mercado Android, confirmou que suas correções levarão até 30 dias para serem implementadas. A empresa também está trabalhando em correções para outras vulnerabilidades identificadas pelo Project Zero da Google. A CISA (Agência de Defesa Cibernética dos EUA) emitiu um alerta pedindo que funcionários federais atualizassem seus dispositivos ou parassem de usá-los. A Samsung deve lançar as atualizações em uma sequência que dependerá do modelo, região e operadora, o que pode deixar muitos usuários vulneráveis durante esse período. A situação destaca a importância de atualizações rápidas em dispositivos móveis, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.

Duas novas campanhas de malware estão ameaçando usuários brasileiros, com foco em um trojan bancário que ataca o WhatsApp e um malware que compromete pagamentos NFC em dispositivos Android. Pesquisadores da Trend Micro identificaram que o grupo Water Saci está por trás do trojan, que se espalha através de arquivos HTA e PDFs maliciosos. Os cibercriminosos utilizam contatos confiáveis para enganar as vítimas, aumentando a probabilidade de que elas baixem os arquivos infectados. Uma vez instalado, o trojan rouba informações sensíveis, como senhas e dados de cartões de crédito. Além disso, o malware RelayNFC, que afeta pagamentos NFC, permite que hackers realizem transações fraudulentas ao interceptar dados do cartão da vítima quando este é encostado no dispositivo. Essa nova era de ameaças digitais no Brasil destaca a vulnerabilidade dos usuários e a necessidade de medidas de segurança mais robustas, especialmente em plataformas amplamente utilizadas como o WhatsApp.

O SmartTube, um aplicativo de código aberto amplamente utilizado para acessar o YouTube em TVs Android, foi recentemente comprometido por cibercriminosos que conseguiram roubar a chave de assinatura do aplicativo. Isso resultou na distribuição de versões alteradas do app, que continham malware. O desenvolvedor, Yuliskov, já removeu as versões afetadas e lançou uma nova versão beta com uma chave de assinatura atualizada. O malware, localizado na biblioteca libalphasdk.so, coleta informações do dispositivo, como aplicativos instalados e endereço IP, mas, segundo especialistas, não houve vazamento de dados de contas. O Google Play Protect conseguiu bloquear a instalação do malware em muitos dispositivos antes que os usuários percebessem o problema. Para os usuários do SmartTube, é recomendado desinstalar as versões comprometidas e instalar apenas a versão 30.56, que é considerada segura. Essa versão pode ser encontrada no GitHub, já que o aplicativo não está mais disponível na Play Store. O uso de versões não oficiais ou aplicativos que prometem consertar o problema deve ser evitado, pois isso pode aumentar os riscos de segurança.

Um novo malware para Android, denominado Albiriox, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso opera como um modelo MaaS (Malware as a Service) e é projetado para realizar fraudes em tempo real, utilizando dados bancários das vítimas. O Albiriox foi identificado em fóruns de cibercrime de língua russa e possui recursos avançados que permitem manipular a tela do dispositivo de forma automatizada e imperceptível.

O malware já possui uma lista pré-programada com mais de 400 aplicativos visados, principalmente voltados para finanças, como bancos e carteiras de criptomoedas. Desde sua detecção em setembro, o Albiriox tem evoluído, utilizando táticas de phishing para infectar dispositivos, como o envio de mensagens SMS com links encurtados que redirecionam para aplicativos falsos. Uma vez instalado, o malware consegue controlar o dispositivo em tempo real, coletando informações sensíveis e burlando métodos tradicionais de autenticação.

No dia 2 de dezembro de 2025, o Google lançou atualizações mensais de segurança para o sistema operacional Android, abordando um total de 107 falhas de segurança, incluindo duas vulnerabilidades de alta gravidade que já foram exploradas ativamente. As falhas identificadas são: CVE-2025-48633, uma vulnerabilidade de divulgação de informações no Framework, e CVE-2025-48572, uma vulnerabilidade de elevação de privilégios também no Framework. O Google não forneceu detalhes sobre a natureza dos ataques ou se as vulnerabilidades foram utilizadas em conjunto. No entanto, a empresa indicou que há sinais de exploração limitada e direcionada. Além disso, uma vulnerabilidade crítica (CVE-2025-48631) que poderia resultar em negação de serviço remoto foi corrigida. As atualizações incluem dois níveis de patch, 2025-12-01 e 2025-12-05, permitindo que os fabricantes de dispositivos abordem rapidamente as vulnerabilidades comuns a todos os dispositivos Android. Os usuários são aconselhados a atualizar seus dispositivos assim que os patches estiverem disponíveis. Este lançamento ocorre três meses após a correção de duas falhas ativamente exploradas no Kernel do Linux e no Android Runtime.

Um novo malware para Android, chamado Albiriox, foi identificado como parte de um modelo de malware-as-a-service (MaaS), oferecendo uma gama completa de funcionalidades para facilitar fraudes em dispositivos. O malware contém uma lista codificada de mais de 400 aplicativos, incluindo bancos e plataformas de criptomoedas. Os pesquisadores da Cleafy relataram que o Albiriox é distribuído por meio de aplicativos dropper, utilizando técnicas de engenharia social para enganar os usuários. Uma vez instalado, o malware solicita permissões para instalar outros aplicativos, permitindo o controle remoto do dispositivo. O Albiriox utiliza uma conexão TCP não criptografada para comunicação com o comando e controle (C2), permitindo que os atacantes executem comandos remotamente e capturem informações sensíveis. Além disso, o malware é capaz de realizar ataques de sobreposição em aplicativos bancários, roubando credenciais sem que os usuários percebam. A ameaça é particularmente relevante para usuários na Áustria, onde campanhas específicas foram observadas. A disseminação de ferramentas de cibercrime como o Albiriox representa um risco crescente para a segurança dos dispositivos móveis, especialmente em um cenário onde a fraude em dispositivos está se tornando cada vez mais sofisticada.

Pesquisadores da Certo Software identificaram um novo spyware para Android chamado RadzaRat, que também atua como um trojan de acesso remoto (RAT), permitindo que hackers tenham controle total sobre os dispositivos infectados. Disfarçado como um gerenciador de arquivos, o aplicativo malicioso não é detectado por nenhum dos 66 antivírus testados, o que o torna extremamente perigoso. O RadzaRat é capaz de registrar tudo que o usuário digita (keylogging), possibilitando o roubo de informações sensíveis, como senhas e dados de cartão de crédito.

Pesquisadores da Universidade de Michigan e da CMU identificaram uma nova vulnerabilidade no sistema Android, especificamente em dispositivos da Google e Samsung, chamada Pixnapping. Essa falha permite que atacantes capturem informações exibidas na tela, incluindo códigos de autenticação de dois fatores (2FA), utilizando uma técnica de canal lateral que burla as proteções visuais do sistema. O ataque explora o SurfaceFlinger, um mecanismo de renderização de imagens, e foi testado em cinco modelos de aparelhos com versões do Android entre 13 e 16. Apesar de uma correção oficial (CVE-2025-48561) ter sido lançada, os especialistas conseguiram contornar o patch rapidamente. Para que o ataque ocorra, a vítima precisa instalar um aplicativo malicioso que utiliza a API de desfoque de janelas para espionar a atividade do usuário. A Google não planeja corrigir essa falha, que é considerada bloqueada por padrão, mas tanto a Google quanto a Samsung pretendem implementar medidas de mitigação até dezembro. Especialistas recomendam que os usuários mantenham seus dispositivos atualizados e evitem aplicativos de fontes não confiáveis.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Sturnus, que permite o roubo de credenciais e a tomada total do dispositivo para fraudes financeiras. Uma das características mais notáveis do Sturnus é sua capacidade de contornar mensagens criptografadas, capturando conteúdo diretamente da tela do dispositivo após a descriptografia. Isso permite que o malware monitore comunicações em aplicativos como WhatsApp, Telegram e Signal. Além disso, o Sturnus realiza ataques de sobreposição, exibindo telas de login falsas sobre aplicativos bancários para roubar credenciais dos usuários. O malware é direcionado a instituições financeiras na Europa Central e do Sul, utilizando sobreposições específicas para cada região. Após ser ativado, o Sturnus se conecta a um servidor remoto via WebSocket e HTTP, recebendo cargas úteis criptografadas. Ele também pode abusar dos serviços de acessibilidade do Android para capturar pressionamentos de tecla e registrar interações da interface do usuário. O Sturnus é projetado para evitar a detecção, bloqueando tentativas de desinstalação e monitorando continuamente a atividade do dispositivo. Embora sua disseminação ainda seja limitada, a combinação de geografia-alvo e foco em aplicativos de alto valor sugere que os atacantes estão refinando suas ferramentas para operações mais amplas no futuro.

O Google anunciou que a adoção da linguagem de programação Rust no Android resultou em uma queda significativa nas vulnerabilidades de segurança relacionadas à memória, que agora representam menos de 20% do total. Jeff Vander Stoep, do Google, destacou que a transição para Rust trouxe uma redução de 1000 vezes na densidade de vulnerabilidades de segurança de memória em comparação ao código em C e C++. Além disso, as mudanças em Rust têm uma taxa de reversão quatro vezes menor e demandam 25% menos tempo em revisão de código, tornando o desenvolvimento não apenas mais seguro, mas também mais ágil. Desde 2019, o número de vulnerabilidades de segurança de memória caiu de 223 para menos de 50 em 2024. O Google planeja expandir o uso de Rust em outras partes do ecossistema Android, como no kernel e em aplicativos críticos. Apesar dos avanços, a empresa enfatiza a importância de uma abordagem de defesa em profundidade, ressaltando que as características de segurança da linguagem são apenas uma parte de uma estratégia abrangente. Um exemplo de vulnerabilidade descoberta foi a CVE-2025-48530, que poderia ter permitido execução remota de código, mas foi corrigida antes de ser divulgada publicamente.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.