Android

Uma vulnerabilidade crítica foi descoberta e já corrigida no EngageLab SDK, um kit de desenvolvimento de software amplamente utilizado em aplicativos Android, que poderia ter colocado em risco milhões de usuários de carteiras de criptomoedas. Segundo a equipe de pesquisa de segurança da Microsoft Defender, essa falha permitia que aplicativos no mesmo dispositivo contornassem a sandbox de segurança do Android, obtendo acesso não autorizado a dados privados. O EngageLab SDK, que oferece um serviço de notificações push, foi integrado em muitos aplicativos do ecossistema de criptomoedas, totalizando mais de 30 milhões de instalações. A vulnerabilidade, identificada na versão 4.5.4 do SDK, é classificada como uma vulnerabilidade de redirecionamento de intent, onde um aplicativo malicioso poderia manipular intents para acessar dados sensíveis de outros aplicativos. Embora não haja evidências de exploração maliciosa, a Microsoft recomenda que os desenvolvedores atualizem para a versão mais recente do SDK para evitar riscos futuros. Este caso destaca como falhas em SDKs de terceiros podem ter implicações de segurança em larga escala, especialmente em setores de alto valor como o gerenciamento de ativos digitais.

Um novo malware denominado ‘NoVoice’ está causando sérios problemas em dispositivos Android, tendo sido baixado mais de 2,3 milhões de vezes na Play Store. O malware se esconde em mais de 50 aplicativos falsos, que incluem plataformas de limpeza de sistemas e jogos, levando os usuários a instalá-los sem perceber a ameaça. Especialistas da McAfee descobriram que o NoVoice explora vulnerabilidades do sistema Android para coletar informações sensíveis, como logins, senhas e dados de cartões de crédito. Além disso, o malware tem a capacidade de instalar ou desinstalar aplicativos sem o conhecimento do usuário. Um dos aplicativos identificados na operação criminosa é o SwiftClean, que promete otimizar o desempenho do dispositivo. Embora o Google tenha garantido que dispositivos atualizados desde maio de 2021 estão protegidos, é essencial que os usuários mantenham atenção redobrada ao instalar novos aplicativos, uma vez que os criminosos conseguem burlar os sistemas de segurança da Play Store.

O malware SparkCat, um infostealer focado em criptomoedas, está de volta com novas atualizações que dificultam sua detecção. Pesquisadores da Kaspersky identificaram aplicativos maliciosos disfarçados em plataformas populares como a Apple App Store e o Google Play Store. O SparkCat, que foi detectado pela primeira vez em 2025, tem como alvo as frases mnemônicas usadas para acessar carteiras de criptomoedas. Recentemente, o malware aprimorou suas técnicas, utilizando reconhecimento óptico de caracteres (OCR) para extrair essas informações de fotos e capturas de tela. Embora inicialmente focado em usuários asiáticos, a nova versão também busca alvos ocidentais, incluindo palavras-chave em inglês. As técnicas de ofuscação foram aprimoradas, tornando a detecção ainda mais desafiadora. A Kaspersky informou que algumas das aplicações maliciosas já foram removidas das lojas, mas o risco persiste, especialmente para usuários que não mantêm vigilância sobre os aplicativos que instalam.

Pesquisadores de cibersegurança descobriram uma nova versão do malware SparkCat nas lojas de aplicativos da Apple e Google, mais de um ano após sua primeira detecção. Este trojan se disfarça em aplicativos aparentemente inofensivos, como mensageiros corporativos e serviços de entrega de alimentos, enquanto escaneia silenciosamente as galerias de fotos das vítimas em busca de frases de recuperação de carteiras de criptomoedas. A empresa russa Kaspersky identificou dois aplicativos infectados na App Store e um no Google Play, com foco em usuários de criptomoedas na Ásia. A variante para iOS se destaca por buscar frases mnemônicas em inglês, o que amplia seu alcance potencial. A versão para Android, por sua vez, apresenta várias camadas de ofuscação e busca palavras-chave em japonês, coreano e chinês. O SparkCat utiliza um modelo de reconhecimento óptico de caracteres (OCR) para extrair imagens que contêm frases de recuperação de carteiras e enviá-las a servidores controlados por atacantes. As melhorias recentes indicam que o malware está em evolução contínua, reforçando a necessidade de soluções de segurança para dispositivos móveis.

Um novo malware chamado NoVoice foi descoberto em mais de 50 aplicativos disponíveis na Google Play Store, afetando aproximadamente 2,3 milhões de dispositivos Android. Este malware é particularmente perigoso, pois se instala como um rootkit altamente persistente, o que significa que uma simples redefinição de fábrica não é suficiente para removê-lo. Os pesquisadores da McAfee identificaram que o NoVoice explora vulnerabilidades antigas no kernel do Android e em drivers de GPU, visando dispositivos que não recebem atualizações regulares.

Um novo malware para Android, chamado NoVoice, foi descoberto na Google Play, oculto em mais de 50 aplicativos que foram baixados mais de 2,3 milhões de vezes. Os aplicativos infectados incluíam ferramentas de limpeza, galerias de imagens e jogos, e não exigiam permissões suspeitas. Após o lançamento de um aplicativo infectado, o malware tentava obter acesso root ao dispositivo explorando vulnerabilidades antigas do Android que foram corrigidas entre 2016 e 2021. Pesquisadores da McAfee identificaram a operação NoVoice, que compartilha semelhanças com o trojan Android Triada. O malware oculta componentes maliciosos em pacotes legítimos do Facebook e utiliza esteganografia para extrair um payload criptografado. Ele evita infectar dispositivos em regiões específicas, como Beijing e Shenzhen, e realiza verificações para detectar emuladores e VPNs. Após a infecção, o malware coleta informações do dispositivo e se conecta a um servidor de comando e controle (C2) para baixar componentes adicionais. O NoVoice é capaz de roubar dados do WhatsApp, permitindo que atacantes clonar sessões de usuários. Embora os aplicativos maliciosos tenham sido removidos da Google Play, usuários que os instalaram devem considerar seus dispositivos comprometidos. Atualizar para dispositivos com patches de segurança mais recentes é recomendado para mitigar essa ameaça.

O Google anunciou a implementação da verificação de desenvolvedores Android, visando combater a distribuição de aplicativos prejudiciais por agentes mal-intencionados que operam de forma anônima. A partir de setembro, essa verificação será obrigatória para desenvolvedores que distribuem aplicativos fora da Google Play em países como Brasil, Indonésia, Cingapura e Tailândia, com expansão global prevista para o próximo ano. Os desenvolvedores deverão criar uma conta no Android Developer Console para confirmar sua identidade. Para a maioria dos usuários, a instalação de aplicativos permanecerá inalterada, mas aqueles que tentarem instalar aplicativos não registrados precisarão passar por um fluxo avançado de autenticação. O Google também introduzirá um processo manual para registro de aplicativos que não puderem ser automaticamente verificados. Essa mudança busca aumentar a segurança da comunidade Android, ao mesmo tempo em que mantém a flexibilidade para usuários avançados. Além disso, a Apple atualizou seu Acordo de Licença do Programa de Desenvolvedores para reforçar regras de privacidade sobre o acesso de dispositivos de terceiros a atividades e notificações ao vivo, proibindo o uso de informações de encaminhamento para publicidade e monitoramento de localização.

Nesta semana, o boletim de segurança destaca uma série de ameaças cibernéticas e inovações tecnológicas. A Google anunciou um cronograma acelerado para a migração para a criptografia pós-quântica (PQC), visando proteger dados contra futuros ataques de computadores quânticos. A atualização inclui a integração do algoritmo de assinatura digital ML-DSA no Android 17, aumentando a segurança durante o processo de inicialização. Além disso, o GitHub introduziu detecções de segurança impulsionadas por IA para identificar vulnerabilidades em códigos, melhorando a cobertura de segurança em diversas linguagens e frameworks.

Um novo estudo da equipe Donjon da Ledger revelou uma vulnerabilidade crítica em smartphones Android que utilizam processadores MediaTek. Essa falha permite que hackers acessem dados sensíveis, como PINs e frases-semente de carteiras de criptomoedas, mesmo quando os dispositivos estão desligados. O ataque é realizado através de uma conexão USB, onde os invasores podem extrair chaves criptográficas antes que o sistema operacional seja carregado. Essa vulnerabilidade afeta cerca de um quarto dos smartphones Android no mundo, destacando a fragilidade da segurança em dispositivos móveis. O CTO da Ledger, Charles Guillemet, enfatizou que smartphones não foram projetados para serem cofres e que a atualização de segurança é crucial para mitigar esses riscos. A vulnerabilidade foi divulgada sob o processo padrão de 90 dias, e a MediaTek já começou a implementar patches para os fabricantes de dispositivos. Usuários são aconselhados a instalar atualizações de segurança imediatamente para proteger seus dados.

O Google anunciou uma nova funcionalidade chamada Advanced Flow, que permitirá a instalação de APKs de desenvolvedores não verificados de forma mais segura no Android. Programada para ser lançada em agosto, essa nova abordagem visa minimizar os riscos de infecções por malware e fraudes, que causaram perdas estimadas em US$ 442 bilhões no último ano, segundo a Global Anti-Scam Alliance (GASA). Para instalar aplicativos de desenvolvedores não verificados, os usuários precisarão passar por um processo único que inclui ativar o Modo Desenvolvedor, confirmar que não estão sendo orientados por agentes maliciosos, reiniciar o dispositivo e reautenticar. Após um dia, eles devem confirmar a legitimidade das modificações. O sistema foi projetado para dificultar táticas de golpe que exploram a urgência, evitando que os usuários instalem software malicioso sob pressão. O Google também está implementando um sistema de verificação de identidade para todos os desenvolvedores de aplicativos Android, que entrará em vigor em agosto de 2026. Essa medida é uma resposta à crescente sofisticação do malware e à necessidade de proteger os usuários em um ambiente digital cada vez mais arriscado.

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

Pesquisadores de cibersegurança revelaram uma nova família de malware Android, chamada Perseus, que está sendo ativamente distribuída com o objetivo de realizar a tomada de controle de dispositivos (DTO) e fraudes financeiras. Baseado nas fundações de Cerberus e Phoenix, o Perseus se apresenta como uma plataforma mais flexível e capaz de comprometer dispositivos Android por meio de aplicativos dropper distribuídos em sites de phishing. O malware utiliza sessões remotas baseadas em acessibilidade, permitindo monitoramento em tempo real e interação precisa com dispositivos infectados, com foco em regiões como Turquia e Itália.

Um novo malware para Android, chamado Perseus, está se espalhando por lojas não oficiais disfarçado como aplicativos de IPTV. Ele tem como alvo informações sensíveis armazenadas em notas pessoais, como senhas e dados financeiros. O malware permite o controle total do dispositivo, captura de telas e ataques de sobreposição. A ameaça se aproveita da familiaridade dos usuários com a instalação de APKs fora da Google Play Store, especialmente em busca de transmissões esportivas gratuitas. Pesquisadores da ThreatFabric identificaram que o Perseus foca principalmente em instituições financeiras na Turquia e na Itália, além de serviços de criptomoedas. O malware utiliza serviços de acessibilidade do Android para abrir e escanear aplicativos de notas, como Google Keep e Evernote, em busca de dados valiosos. O Perseus também realiza verificações extensivas para evitar detecção antes de executar suas atividades maliciosas. Para se proteger, os usuários devem evitar a instalação de aplicativos de fontes duvidosas e garantir que o Play Protect esteja ativo.

A Google confirmou a exploração da vulnerabilidade de segurança CVE-2026-21385, que afeta dispositivos Android devido a uma falha em um componente da Qualcomm. Essa vulnerabilidade, classificada como de alta severidade, permite que hackers acessem dados sensíveis da memória dos aparelhos. A Qualcomm foi notificada sobre o problema em dezembro de 2025 e, embora tenha alertado os consumidores em fevereiro de 2026, a Google não forneceu detalhes técnicos sobre como a falha foi explorada. A vulnerabilidade se refere a uma leitura excessiva (over-read) no componente gráfico, que pode levar à corrupção de memória e, consequentemente, comprometer a segurança dos usuários. Apesar de a Google ter mencionado que a exploração foi limitada e direcionada, a falta de informações detalhadas gera preocupações sobre a segurança dos dispositivos Android. A última atualização do Android, lançada em março de 2026, abordou 120 vulnerabilidades, mas não incluiu um patch específico para a falha da Qualcomm, deixando os usuários em uma situação de incerteza até que novas atualizações sejam disponibilizadas.

O Google lançou atualizações de segurança para corrigir 129 vulnerabilidades no Android, incluindo uma falha zero-day criticamente explorada em um componente de display da Qualcomm, identificada como CVE-2026-21385. Essa vulnerabilidade, que pode estar sob exploração limitada e direcionada, é um estouro de inteiro que pode levar à corrupção de memória, afetando 235 chipsets da Qualcomm. Além disso, o Google corrigiu 10 vulnerabilidades críticas que poderiam permitir a execução remota de código, elevação de privilégios ou negação de serviço. As atualizações foram divididas em dois pacotes: 2026-03-01 e 2026-03-05, com o segundo incluindo todos os patches do primeiro e correções para subcomponentes de terceiros. Enquanto dispositivos Google Pixel recebem atualizações imediatamente, outros fabricantes podem demorar mais para implementá-las. A Qualcomm foi notificada sobre a vulnerabilidade em dezembro e alertou seus clientes em fevereiro. O artigo destaca a importância de que as empresas que utilizam dispositivos Android estejam cientes dessas vulnerabilidades e realizem as atualizações necessárias para mitigar riscos.

O Google revelou uma vulnerabilidade de alta severidade, identificada como CVE-2026-21385, que afeta um componente de código aberto da Qualcomm utilizado em dispositivos Android. Essa falha, classificada com um CVSS de 7.8, refere-se a um buffer over-read no componente gráfico, resultando em corrupção de memória ao adicionar dados fornecidos pelo usuário sem verificar o espaço disponível no buffer. A Qualcomm recebeu o relatório sobre essa vulnerabilidade em 18 de dezembro de 2025 e notificou seus clientes em 2 de fevereiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada, o Google indicou que há sinais de exploração direcionada e limitada. Além disso, a atualização de março de 2026 do Android inclui patches para 129 vulnerabilidades, incluindo uma falha crítica que pode permitir execução remota de código sem privilégios adicionais. A atualização oferece dois níveis de patch para que os parceiros do Android possam abordar rapidamente as vulnerabilidades comuns em diferentes dispositivos. Essa situação destaca a importância de manter os dispositivos atualizados para mitigar riscos de segurança.

O malware Oblivion é um novo Trojan de Acesso Remoto (RAT) que afeta dispositivos Android, especialmente aqueles que operam entre as versões 8 e 16. Este software malicioso, que pode ser adquirido por assinatura a partir de US$ 300, permite que atacantes assumam o controle total dos dispositivos, interceptando mensagens SMS, notificações e códigos de autenticação de dois fatores sem que o usuário perceba. O Oblivion contorna as proteções do Android, utilizando a Accessibility Service de forma abusiva para automatizar a aprovação de permissões, o que facilita a instalação de aplicativos maliciosos fora das lojas oficiais. Uma vez ativo, o malware pode monitorar atividades em tempo real, lançar ou remover aplicativos remotamente e ocultar sua presença através de sobreposições enganosas. Os pesquisadores de segurança alertam que a instalação de aplicativos de fontes não confiáveis e a concessão desnecessária de permissões de acessibilidade aumentam o risco de infecção. Medidas de proteção incluem a realização de varreduras de segurança, uso de proteção de endpoint e auditoria regular das permissões de aplicativos.

Um estudo recente revelou que aplicativos de saúde mental disponíveis na Play Store do Android apresentam vulnerabilidades de segurança que podem comprometer informações sensíveis dos usuários. Com cerca de 14,7 milhões de downloads, esses aplicativos, que visam ajudar pessoas com condições como depressão e ansiedade, foram analisados pela empresa Oversecured. Os especialistas identificaram um total de 1.575 falhas de segurança, das quais 54 foram classificadas como de alta gravidade. Embora as vulnerabilidades não sejam críticas, elas podem permitir que cibercriminosos acessem credenciais de login, injetem código malicioso e até rastreiem a localização dos usuários. Além disso, alguns aplicativos falham em validar corretamente as URIs fornecidas, o que pode resultar no vazamento de informações médicas, como transcrições de sessões de terapia e horários de medicação. Apesar das alegações de criptografia por parte de algumas empresas, a realidade mostra que a segurança desses dados está em risco, levantando preocupações sobre a privacidade e a proteção das informações pessoais dos usuários.

Especialistas da Kaspersky identificaram uma nova ameaça para usuários de dispositivos Android: um malware chamado Keenadu, que pode vir pré-instalado no sistema operacional. Este software malicioso é capaz de roubar dados sensíveis, como senhas e informações bancárias, sem que o usuário perceba. O Keenadu se infiltra no firmware dos dispositivos através de pacotes de atualização OTA e também pode ser instalado por meio de fontes não oficiais, incluindo a Play Store. A Kaspersky alerta que a remoção do malware é extremamente difícil e requer ajuda especializada. Até o momento, mais de 13 mil dispositivos foram afetados, com vítimas localizadas em países como Brasil, Japão, Rússia, Holanda e Alemanha. O Keenadu tem acesso completo aos dados do dispositivo, permitindo que atacantes realizem operações ilegais, como a instalação de aplicativos sem consentimento do usuário. A origem do malware ainda é desconhecida, mas ele tem sido utilizado principalmente para fraudes publicitárias.

Pesquisadores da ESET identificaram o PromptSpy, o primeiro malware para Android que utiliza inteligência artificial generativa para aprimorar suas capacidades de ataque. Embora ainda seja uma prova de conceito, o malware é projetado para fornecer controle remoto sobre dispositivos infectados, utilizando um módulo de computação de rede virtual (VNC). O PromptSpy interage com o chatbot Gemini da Google, enviando comandos em linguagem natural para manipular o dispositivo atacado. Isso permite que os hackers adaptem seus ataques a diferentes versões do sistema operacional Android.

Pesquisadores da Threat Fabric identificaram um novo trojan bancário chamado Massiv, que está sendo distribuído por meio de aplicativos disfarçados de IPTV. Este malware tem sido utilizado em campanhas fraudulentas em diversos países, especialmente no sul da Europa. O Massiv possui funcionalidades avançadas, como overlay, keylogging e interceptação de SMS, permitindo que os hackers capturem credenciais e dados financeiros das vítimas. Um dos alvos do ataque foi o aplicativo gov.pt, utilizado em Portugal para autenticação digital, o que levanta preocupações sobre a segurança de informações sensíveis. Os hackers podem abrir contas em nome das vítimas e realizar transações fraudulentas, utilizando um canal WebSocket para controle remoto dos dispositivos infectados. A ameaça é particularmente atrativa para os usuários devido à promessa de serviços premium em aplicativos IPTV, levando-os a baixar APKs maliciosos. Embora o Massiv ainda não seja um malware-as-a-service, há indícios de que essa possibilidade possa surgir em breve, aumentando a disseminação do malware.

Recentemente, foi identificado que mais de um bilhão de smartphones Android, representando cerca de 42% dos dispositivos ativos, estão vulneráveis a malwares devido a falhas de segurança que não serão corrigidas. Essa situação afeta principalmente aparelhos que operam com Android 12 ou versões anteriores, que não receberão mais atualizações de segurança. A fragmentação do sistema operacional entre diferentes fabricantes dificulta a aplicação de correções em massa, tornando esses dispositivos alvos fáceis para hackers.

Pesquisadores da ESET identificaram o primeiro malware Android conhecido a utilizar IA generativa em sua execução, denominado ‘PromptSpy’. Este malware se aproveita do modelo Gemini da Google para adaptar sua persistência em diferentes dispositivos. A descoberta ocorreu em fevereiro de 2026, com a primeira versão, chamada VNCSpy, sendo detectada em janeiro do mesmo ano. O PromptSpy utiliza a IA para enviar comandos que permitem ’travar’ aplicativos na lista de aplicativos recentes, dificultando sua remoção. Essa técnica é especialmente eficaz, pois varia entre fabricantes, e a IA ajuda a automatizar o processo. Além de sua capacidade de persistência, o PromptSpy atua como spyware, permitindo acesso remoto completo aos dispositivos infectados, podendo capturar senhas, gravar a tela e interceptar informações sensíveis. Para dificultar a desinstalação, o malware sobrepõe botões invisíveis sobre a interface do usuário. Embora a ESET ainda não tenha observado o PromptSpy em sua telemetria, a presença de domínios dedicados para distribuição sugere que ele pode ter sido utilizado em ataques reais. Essa nova abordagem de malware destaca como a IA generativa pode ser utilizada para aprimorar a eficácia de ataques cibernéticos, representando uma preocupação crescente para a segurança digital.

O Google anunciou que, até 2025, bloqueou mais de 255 mil aplicativos Android que tentavam obter acesso excessivo a dados sensíveis dos usuários e rejeitou mais de 1,75 milhão de aplicativos por violação de políticas. Em sua revisão anual de segurança do Android e Google Play, a empresa destacou a eficácia das medidas de proteção implementadas para manter um ecossistema seguro. Para isso, foram realizados mais de 10 mil checagens de segurança em aplicativos publicados, e a detecção de padrões maliciosos foi aprimorada com a integração de modelos de IA generativa. Entre as ações de proteção, o Google baniu mais de 80 mil contas de desenvolvedores considerados ruins e bloqueou 266 milhões de tentativas de instalação de aplicativos arriscados. O Play Protect, que verifica diariamente mais de 350 bilhões de aplicativos, identificou mais de 27 milhões de aplicativos maliciosos que foram instalados fora do Google Play. Além disso, novas proteções contra ataques de ’tapjacking’ foram adicionadas no Android 16. O Google continuará investindo em defesas baseadas em IA e expandindo a verificação de desenvolvedores para prevenir violações de políticas antes da publicação dos aplicativos.

Pesquisadores de cibersegurança identificaram o PromptSpy, o primeiro malware para Android que utiliza o chatbot de inteligência artificial Gemini, da Google, para executar suas funções maliciosas e garantir sua persistência no dispositivo. O PromptSpy é capaz de capturar dados da tela de bloqueio, bloquear tentativas de desinstalação, coletar informações do dispositivo, tirar capturas de tela e gravar a atividade da tela em vídeo. O malware se comunica com um servidor de comando e controle para receber instruções sobre como interagir com a interface do usuário, utilizando a IA para adaptar suas ações a diferentes dispositivos e versões do sistema operacional. O principal objetivo do PromptSpy é implantar um módulo VNC que permite acesso remoto ao dispositivo da vítima. A análise sugere que a campanha é motivada financeiramente e direcionada a usuários na Argentina, com indícios de que o malware foi desenvolvido em um ambiente de língua chinesa. O PromptSpy é distribuído por um site dedicado e não está disponível no Google Play, o que aumenta o risco de infecção para os usuários desavisados.

Um novo malware bancário para Android, denominado Massiv, está se disfarçando como um aplicativo de IPTV para roubar identidades digitais e acessar contas bancárias online. O malware utiliza sobreposições de tela e keylogging para obter dados sensíveis e pode assumir o controle remoto de dispositivos comprometidos. Pesquisadores da ThreatFabric observaram uma campanha que visava um aplicativo do governo português, que se conecta ao sistema de autenticação digital Chave Móvel Digital. Os dados obtidos podem ser usados para contornar verificações de KYC e acessar serviços bancários e públicos. O Massiv permite que os operadores controlem remotamente o dispositivo infectado, utilizando modos de transmissão ao vivo e extração de dados estruturados. A pesquisa também destacou uma tendência crescente de uso de aplicativos IPTV como iscas para infecções por malware, especialmente em países como Portugal, Espanha, França e Turquia. Os usuários de Android são aconselhados a baixar apenas aplicativos de fontes confiáveis e a manter o Play Protect ativo para proteger seus dispositivos.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan para Android chamado Massiv, que facilita ataques de tomada de controle de dispositivos (DTO) visando o roubo financeiro. O malware se disfarça como aplicativos IPTV inofensivos, atraindo usuários em busca de serviços de TV online. Segundo a ThreatFabric, o Massiv permite que os operadores controlem remotamente dispositivos infectados, realizando transações fraudulentas nas contas bancárias das vítimas.

Entre suas funcionalidades, o Massiv utiliza técnicas como streaming de tela, keylogging e sobreposições falsas em aplicativos financeiros, solicitando que os usuários insiram suas credenciais. Um dos alvos identificados foi o aplicativo gov.pt, que gerencia documentos de identificação em Portugal. Os criminosos têm usado as informações capturadas para abrir contas bancárias em nome das vítimas, facilitando atividades como lavagem de dinheiro.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova plataforma de spyware móvel chamada ZeroDayRAT, que está sendo promovida no Telegram como uma ferramenta para roubar dados sensíveis e facilitar a vigilância em tempo real em dispositivos Android e iOS. O malware é projetado para suportar versões do Android de 5 a 16 e do iOS até a versão 26, sendo distribuído principalmente por meio de engenharia social e marketplaces de aplicativos falsos.

Um novo spyware, conhecido como ZeroDayRAT, está sendo comercializado no Telegram e visa dispositivos Android e iOS, permitindo que hackers tenham acesso remoto completo a câmeras, microfones e dados pessoais dos usuários. De acordo com a pesquisa da iVerify, o malware é capaz de gerenciar aparelhos comprometidos, coletando informações financeiras e espiando em tempo real. O spyware é descrito como um ‘kit de ferramentas completo’ que permite aos cibercriminosos monitorar as vítimas por meio de um painel de controle, que fornece dados sobre o modelo do dispositivo, versão do sistema operacional, status da bateria e localização geográfica. Além disso, o ZeroDayRAT pode ativar câmeras e microfones, registrar senhas e padrões de desbloqueio, e roubar informações de aplicativos financeiros, como Google Pay e Apple Pay. Especialistas alertam que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção por esse tipo de malware.

Um novo malware disfarçado de aplicativo de antivírus, chamado ‘TrustBastion’, tem enganado usuários de dispositivos Android, oferecendo uma falsa sensação de segurança enquanto rouba informações sensíveis. Especialistas da Bitdefender alertam que o aplicativo, que se apresenta como uma solução de proteção, na verdade monitora o aparelho em tempo real, coletando senhas e credenciais de login de aplicativos de mensagens e bancos. O golpe começa com anúncios que alertam sobre uma suposta infecção no smartphone, levando o usuário a instalar o TrustBastion para ‘remover’ a ameaça. Após a instalação, o aplicativo solicita uma atualização que instala um arquivo APK malicioso, permitindo que os hackers monitorem a tela do dispositivo e capturem dados sensíveis, como PINs e padrões de desbloqueio. A situação é agravada pela capacidade dos criminosos de gerar novas variantes do malware a cada 15 minutos, dificultando sua detecção. Para se proteger, os especialistas recomendam que os usuários instalem aplicativos apenas na Play Store, a loja oficial do Google.

Um comunicado da Google revelou que mais de 40% dos celulares Android estão vulneráveis a ataques de malwares e spywares devido à recente atualização do sistema operacional, o Android 16. Isso representa mais de um bilhão de dispositivos sem atualizações de segurança críticas. Atualmente, apenas 7,5% dos celulares estão com o Android 16 instalado, enquanto a maioria ainda opera com versões anteriores, como Android 15, 14 e 13, que também não recebem suporte adequado. A fragmentação do sistema Android, causada pela diversidade de fabricantes, contribui para essa situação, já que muitos modelos mais antigos não recebem atualizações de segurança após dois ou três anos de uso. Isso gera uma vulnerabilidade de patch, onde falhas conhecidas são exploradas por hackers. A Google tenta mitigar esse problema com o Project Mainline, que atualiza componentes específicos do Android diretamente pela Play Store, mas essa solução é limitada. Para os usuários de dispositivos que não receberão mais suporte, a recomendação é considerar a troca de aparelho para evitar riscos de segurança, como ataques de ransomware e roubo de dados pessoais.

Uma nova plataforma de spyware móvel chamada ZeroDayRAT está sendo promovida em canais de cibercrime, como o Telegram, oferecendo controle remoto total sobre dispositivos Android e iOS comprometidos. O malware, que suporta versões do Android de 5 a 16 e iOS até a versão 26, não apenas rouba dados, mas também permite vigilância em tempo real e roubo financeiro. O painel de controle do ZeroDayRAT fornece informações detalhadas sobre os dispositivos infectados, como modelo, versão do sistema operacional, status da bateria e localização. Além do registro passivo de dados, o malware pode ativar câmeras e microfones, capturar senhas e até contornar autenticações de dois fatores (2FA) ao interceptar senhas temporárias. Um módulo específico para roubo de criptomoedas busca aplicativos como MetaMask e Binance, enquanto outro foca em aplicativos bancários. A entrega do malware não foi detalhada, mas especialistas alertam que um dispositivo comprometido pode resultar em brechas significativas para empresas. Para se proteger, recomenda-se que os usuários confiem apenas em lojas de aplicativos oficiais e considerem ativar modos de proteção avançados em seus dispositivos.

As TVs conectadas à internet, especialmente aquelas com sistema Android, tornaram-se alvos preferidos de hackers devido à sua vulnerabilidade e à falta de medidas de segurança adequadas. Diferente de computadores e smartphones, as TVs geralmente não recebem atualizações de segurança regulares, o que as torna um terreno fértil para ataques cibernéticos. Um exemplo alarmante é a botnet Aisuru, que utilizou TVs Android hackeadas para realizar um dos maiores ataques DDoS da história, com 200 milhões de solicitações maliciosas por segundo.

A botnet AISURU/Kimwolf foi responsável por um ataque de negação de serviço distribuído (DDoS) que atingiu a marca recorde de 31,4 Terabits por segundo (Tbps) em novembro de 2025, durando apenas 35 segundos. A Cloudflare, que detectou e mitigou automaticamente a atividade, relatou um aumento significativo de ataques DDoS hipervolumétricos, com um crescimento de 121% em 2025, totalizando 47,1 milhões de ataques. Durante a campanha conhecida como ‘The Night Before Christmas’, que começou em 19 de dezembro de 2025, a média dos ataques foi de 4 Tbps, com picos de até 24 Tbps. A botnet comprometeu mais de 2 milhões de dispositivos Android, principalmente TVs Android de marcas não reconhecidas, utilizando redes de proxy residenciais para controlar esses dispositivos. Além disso, a Cloudflare observou que o setor de telecomunicações foi o mais atacado, com países como China, Brasil e EUA figurando entre os mais afetados. O aumento na sofisticação e no tamanho dos ataques representa um desafio crescente para as organizações, que devem reavaliar suas estratégias de defesa.

Recentemente, hackers utilizaram a plataforma Hugging Face para distribuir malware direcionado a dispositivos Android, disfarçado como um aplicativo antivírus chamado TrustBastion. Este aplicativo, ao ser instalado, informa ao usuário que seu dispositivo está infectado e solicita uma atualização, momento em que o código malicioso é efetivamente instalado. O TrustBastion conecta-se a um servidor de terceiros que redireciona para um repositório na Hugging Face, onde o APK malicioso é hospedado. O malware é capaz de capturar capturas de tela, exibir interfaces falsas de login para serviços de pagamento e roubar códigos de bloqueio, enviando todas as informações coletadas para servidores controlados pelos atacantes. Apesar da rápida identificação e remoção do aplicativo, novos repositórios surgiram, indicando a persistência da ameaça. Especialistas recomendam que os usuários baixem aplicativos apenas de fontes confiáveis, como a Google Play Store, e que verifiquem as avaliações e o número de downloads antes de instalar qualquer aplicativo.

Uma nova campanha de malware para Android está utilizando a plataforma Hugging Face como repositório para milhares de variações de um payload APK que coleta credenciais de serviços financeiros e de pagamento populares. A campanha, descoberta pela empresa romena de cibersegurança Bitdefender, começa com a instalação de um aplicativo dropper chamado TrustBastion, que engana os usuários com anúncios alarmantes, alegando que seus dispositivos estão infectados. O aplicativo malicioso se disfarça como uma ferramenta de segurança, prometendo detectar ameaças como fraudes e malware.

O Google anunciou melhorias significativas nas funcionalidades de proteção contra roubo em dispositivos Android, visando tornar os smartphones menos vulneráveis a furtos. As novas medidas, que se baseiam nas defesas anti-furto já existentes desde outubro de 2024, incluem controles mais detalhados para o recurso de Bloqueio por Falha de Autenticação, que agora permite que os usuários ativem ou desativem a função de bloqueio automático após várias tentativas de acesso malsucedidas. Além disso, a empresa expandiu o recurso de Verificação de Identidade, que exige autenticação biométrica para ações realizadas fora de locais confiáveis, abrangendo agora todos os aplicativos que utilizam o Android Biometric Prompt.

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

Um novo tipo de malware para dispositivos Android está utilizando inteligência artificial (IA) para contornar sistemas de segurança convencionais. De acordo com informações do Tech Radar, cibercriminosos estão empregando a plataforma de machine learning TensorFlow, desenvolvida pelo Google, para distribuir trojans através de anúncios maliciosos. A técnica envolve a criação de aplicativos falsos que são disseminados principalmente pela loja GetApps da Xiaomi, além de outros canais como redes sociais e Telegram.

Uma nova família de trojans de cliques para Android está utilizando modelos de aprendizado de máquina do TensorFlow para detectar e interagir automaticamente com elementos publicitários específicos. Ao contrário dos trojans tradicionais que dependem de rotinas de clique em JavaScript, essa nova abordagem realiza uma análise visual baseada em aprendizado de máquina. Os pesquisadores da Dr.Web identificaram que esses malwares estão sendo distribuídos através da loja oficial GetApps de dispositivos Xiaomi, operando em um modo chamado ‘fantasma’, que utiliza um navegador oculto para carregar páginas de anúncios e scripts JavaScript que automatizam ações sobre os anúncios exibidos. Além disso, um segundo modo, denominado ‘sinalização’, permite que os atacantes transmitam um feed de vídeo ao vivo da tela do navegador virtual, possibilitando ações em tempo real. Os trojans são frequentemente incorporados em jogos inicialmente benignos, recebendo funcionalidades maliciosas em atualizações subsequentes. Os pesquisadores alertam que a instalação de aplicativos fora do Google Play, especialmente versões modificadas de aplicativos populares, deve ser evitada, pois isso aumenta o risco de infecção. Embora a fraude de cliques não represente uma ameaça imediata à privacidade dos usuários, ela pode resultar em drenagem da bateria e custos adicionais de dados móveis.

Pesquisadores do laboratório Black Lotus, da Lumen Technologies, conseguiram desativar mais de 550 servidores de comando e controle (C2) das botnets Aisuru e Kimwolf, que operam desde outubro de 2025. A Aisuru, uma das maiores botnets em atividade, é conhecida por realizar ataques DDoS e hospedar tráfego malicioso através de proxies residenciais. A seção Kimwolf, voltada para dispositivos Android, infectou mais de 2 milhões de aparelhos, principalmente TV Boxes, utilizando um SDK malicioso chamado ByteConnect. A botnet não apenas realiza ataques, mas também cobra por serviços de realocação de banda larga e venda de DDoS. A Black Lotus identificou um aumento significativo no número de bots da Kimwolf, que chegou a 800.000 em outubro de 2025. As operações maliciosas se escondem em tráfego comum, dificultando a detecção. A desativação dos servidores é um passo importante, mas os cibercriminosos estão se adaptando rapidamente, mudando para novos IPs e métodos de operação.

A equipe Black Lotus Labs da Lumen Technologies revelou que desde outubro de 2025, mais de 550 nós de comando e controle (C2) associados à botnet AISURU/Kimwolf foram neutralizados. Essas botnets, que afetam principalmente dispositivos Android, têm a capacidade de realizar ataques de negação de serviço distribuído (DDoS) e redirecionar tráfego malicioso para serviços de proxy residencial. A análise do malware Kimwolf, que transforma dispositivos Android TV comprometidos em proxies residenciais, foi detalhada em um relatório da QiAnXin XLab. A botnet já infectou mais de 2 milhões de dispositivos, explorando vulnerabilidades em serviços de proxy. Além disso, houve um aumento significativo no número de bots, com 800 mil novos dispositivos adicionados em um curto período. A infraestrutura C2 da Kimwolf foi observada escaneando serviços em busca de dispositivos vulneráveis, utilizando falhas de segurança para propagar o malware. A situação é preocupante, pois esses dispositivos comprometidos operam sob a aparência de tráfego legítimo, dificultando a detecção por soluções de segurança. A relevância deste incidente é alta, especialmente para empresas que utilizam dispositivos Android em suas operações.

Um relatório da ESET revela que o ecossistema Android na América Latina, especialmente no Brasil e México, continua sendo um alvo preferencial para cibercriminosos. Em 2025, três famílias de malware se destacaram entre as mais detectadas: Trojan.Android/Exploit.CVE-2012-6636, Trojan.Android/Exploit.Lotoor e Trojan.Android/Pandora. A primeira, com mais de uma década, explora vulnerabilidades em aplicativos desatualizados, enquanto a segunda se aproveita de falhas em dispositivos com acesso root. A terceira, uma variante do malware Mirai, transforma dispositivos em botnets para ataques DDoS. A ESET alerta que a fragmentação do sistema Android e o uso prolongado de aparelhos sem atualização contribuem para a persistência dessas ameaças. Recomendações incluem manter o sistema e aplicativos atualizados e evitar downloads de fontes não confiáveis.

Recentemente, a cibersegurança enfrentou desafios significativos, destacando como pequenas falhas podem resultar em grandes consequências. Um exemplo alarmante é a vulnerabilidade crítica na plataforma de automação n8n, identificada como CVE-2026-21858, que permite execução remota de código sem autenticação, potencialmente comprometendo sistemas inteiros. Essa falha, que afeta versões anteriores à 1.121.0, é particularmente preocupante para organizações que utilizam n8n para automatizar fluxos de trabalho sensíveis.

Além disso, o botnet Kimwolf, uma variante do malware Aisuru, infectou mais de dois milhões de dispositivos Android, explorando vulnerabilidades em redes de proxy residenciais. O malware utiliza o Android Debug Bridge (ADB) exposto para executar comandos remotamente, aumentando o risco de comprometimento de dispositivos em redes internas.

A empresa de cibersegurança Synthient revelou a descoberta da botnet Kimwolf, que já comprometeu mais de 2 milhões de dispositivos Android, especialmente TV boxes, no Brasil e em outros países. A botnet, que se conecta a redes proxy residenciais, é uma evolução da botnet Aisuru, que anteriormente havia invadido 1,8 milhões de aparelhos. A Kimwolf utiliza técnicas avançadas de encriptação e comunicação, como DNS sobre TLS e EtherHiding, para evitar detecções e desmantelamentos. Os cibercriminosos monetizam as infecções por meio da venda de SDKs e revenda de banda larga, além de permitir o preenchimento de credenciais em massa. A maioria das infecções foi observada em países como Brasil, Índia, Arábia Saudita e Vietnã. A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas e que usuários verifiquem e destruam dispositivos infectados.

A botnet Kimwolf, que já infectou mais de 2 milhões de dispositivos Android, tem se destacado por sua capacidade de explorar redes de proxy residenciais para disseminar malware. De acordo com a Synthient, a botnet monetiza suas operações através da instalação de aplicativos, venda de largura de banda de proxy residencial e funcionalidade de DDoS. Desde sua primeira documentação pública em dezembro de 2025, Kimwolf tem sido associada a ataques DDoS recordes, principalmente em países como Vietnã, Brasil, Índia e Arábia Saudita. A maioria das infecções ocorre em dispositivos Android que têm o Android Debug Bridge (ADB) exposto, com 67% dos dispositivos conectados à botnet sendo não autenticados e com ADB habilitado por padrão. Além disso, a botnet utiliza endereços IP de proxies alugados, como os oferecidos pela empresa chinesa IPIDEA, para infiltrar-se em redes locais e instalar o malware. A Synthient alerta que a vulnerabilidade expõe milhões de dispositivos a ataques, e recomenda que provedores de proxy bloqueiem solicitações a endereços IP privados para mitigar os riscos.

Um novo golpe está afetando usuários de Android na Turquia, onde criminosos estão utilizando aplicativos relacionados ao sistema jurídico para disseminar um trojan chamado Frogblight, que tem como objetivo roubar dados bancários. O malware foi identificado pela primeira vez em agosto de 2025 e é propagado por meio de smishing, uma técnica de phishing que utiliza mensagens SMS fraudulentas. As vítimas recebem mensagens que alegam envolvimento em processos judiciais ou a possibilidade de receber auxílio financeiro, levando-as a clicar em links que baixam aplicativos maliciosos.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.