Android

A empresa de cibersegurança Synthient revelou a descoberta da botnet Kimwolf, que já comprometeu mais de 2 milhões de dispositivos Android, especialmente TV boxes, no Brasil e em outros países. A botnet, que se conecta a redes proxy residenciais, é uma evolução da botnet Aisuru, que anteriormente havia invadido 1,8 milhões de aparelhos. A Kimwolf utiliza técnicas avançadas de encriptação e comunicação, como DNS sobre TLS e EtherHiding, para evitar detecções e desmantelamentos. Os cibercriminosos monetizam as infecções por meio da venda de SDKs e revenda de banda larga, além de permitir o preenchimento de credenciais em massa. A maioria das infecções foi observada em países como Brasil, Índia, Arábia Saudita e Vietnã. A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas e que usuários verifiquem e destruam dispositivos infectados.

A botnet Kimwolf, que já infectou mais de 2 milhões de dispositivos Android, tem se destacado por sua capacidade de explorar redes de proxy residenciais para disseminar malware. De acordo com a Synthient, a botnet monetiza suas operações através da instalação de aplicativos, venda de largura de banda de proxy residencial e funcionalidade de DDoS. Desde sua primeira documentação pública em dezembro de 2025, Kimwolf tem sido associada a ataques DDoS recordes, principalmente em países como Vietnã, Brasil, Índia e Arábia Saudita. A maioria das infecções ocorre em dispositivos Android que têm o Android Debug Bridge (ADB) exposto, com 67% dos dispositivos conectados à botnet sendo não autenticados e com ADB habilitado por padrão. Além disso, a botnet utiliza endereços IP de proxies alugados, como os oferecidos pela empresa chinesa IPIDEA, para infiltrar-se em redes locais e instalar o malware. A Synthient alerta que a vulnerabilidade expõe milhões de dispositivos a ataques, e recomenda que provedores de proxy bloqueiem solicitações a endereços IP privados para mitigar os riscos.

Um novo golpe está afetando usuários de Android na Turquia, onde criminosos estão utilizando aplicativos relacionados ao sistema jurídico para disseminar um trojan chamado Frogblight, que tem como objetivo roubar dados bancários. O malware foi identificado pela primeira vez em agosto de 2025 e é propagado por meio de smishing, uma técnica de phishing que utiliza mensagens SMS fraudulentas. As vítimas recebem mensagens que alegam envolvimento em processos judiciais ou a possibilidade de receber auxílio financeiro, levando-as a clicar em links que baixam aplicativos maliciosos.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.

Um novo malware chamado Wonderland, que se disfarça como aplicativos legítimos, está sendo utilizado por grupos de ameaças para roubar mensagens SMS de usuários de Android no Uzbequistão. Anteriormente, os atacantes usavam APKs de trojans que atuavam como malware imediatamente após a instalação. Agora, eles estão utilizando aplicativos dropper, que parecem inofensivos, mas contêm um payload malicioso que é ativado localmente após a instalação, mesmo sem conexão com a internet. O Wonderland permite comunicação bidirecional com o servidor de comando e controle (C2), possibilitando o roubo de SMS e a execução de comandos em tempo real. Os atacantes, conhecidos como TrickyWonders, utilizam o Telegram para coordenar suas operações e distribuem o malware através de páginas falsas do Google Play, campanhas publicitárias e contas falsas em aplicativos de namoro. Uma vez instalado, o malware pode interceptar senhas de uso único (OTPs) e acessar informações bancárias dos usuários. A evolução do malware na região mostra um aumento na sofisticação das técnicas utilizadas, tornando a detecção e mitigação mais desafiadoras para os usuários e profissionais de segurança.

A startup suíça Soverli apresentou uma nova abordagem para a segurança em smartphones, que opera em conjunto com Android e iOS, oferecendo uma camada de sistema operacional audível para empresas. Essa inovação permite que múltiplos sistemas operacionais funcionem simultaneamente em um único dispositivo, garantindo que usuários em setores críticos, como serviços de emergência e segurança pública, mantenham suas atividades mesmo se o sistema operacional principal for comprometido. A arquitetura da Soverli possibilita a separação entre ambientes pessoais e profissionais, protegendo dados sensíveis sem sacrificar a funcionalidade do dispositivo. A tecnologia, desenvolvida ao longo de quatro anos na ETH Zurich, utiliza um sistema patenteado que reduz a superfície de ataque e implementa ferramentas de criptografia para proteger informações. A startup já demonstrou a operação de aplicativos de mensagens seguras, como o Signal, dentro dessa camada soberana, assegurando a confidencialidade das comunicações. Com um financiamento inicial de 2,6 milhões de dólares, a Soverli planeja expandir suas operações e parcerias, alinhando-se à crescente demanda por infraestrutura digital auditável na Europa.

Um novo malware, identificado como Cellik, está causando sérios problemas em dispositivos Android. Este trojan de acesso remoto (RAT) é capaz de clonar aplicativos legítimos da Play Store, permitindo que hackers obtenham controle total dos aparelhos das vítimas. O Cellik é comercializado em fóruns da dark web e oferece uma gama de ferramentas para comprometer sistemas, criando uma falsa sensação de legitimidade. Ao instalar o aplicativo comprometido, a vítima permite que o malware acesse a tela do dispositivo, registre teclas digitadas, intercepte notificações e navegue de forma oculta na internet. O Cellik também consegue acessar o sistema de arquivos do aparelho e utilizar cookies armazenados para roubar credenciais de login. O que torna esse malware particularmente perigoso é sua capacidade de se integrar à Play Store, burlando sistemas de segurança como o Google Play Protect, que não consegue detectar a presença do trojan. Essa situação levanta preocupações significativas sobre a segurança dos usuários e a eficácia das medidas de proteção atualmente disponíveis.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

No início de dezembro de 2025, a Google emitiu um alerta sobre vulnerabilidades críticas no sistema operacional Android, identificadas como CVE-2025-48633 e CVE-2025-48572. Essas falhas estão sendo ativamente exploradas, permitindo ataques de negação de serviço (DoS) sem a necessidade de privilégios de administrador. Embora a Google tenha rapidamente disponibilizado uma atualização de segurança para seus dispositivos Pixel, a Samsung, que detém cerca de 30% do mercado Android, confirmou que suas correções levarão até 30 dias para serem implementadas. A empresa também está trabalhando em correções para outras vulnerabilidades identificadas pelo Project Zero da Google. A CISA (Agência de Defesa Cibernética dos EUA) emitiu um alerta pedindo que funcionários federais atualizassem seus dispositivos ou parassem de usá-los. A Samsung deve lançar as atualizações em uma sequência que dependerá do modelo, região e operadora, o que pode deixar muitos usuários vulneráveis durante esse período. A situação destaca a importância de atualizações rápidas em dispositivos móveis, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.

Duas novas campanhas de malware estão ameaçando usuários brasileiros, com foco em um trojan bancário que ataca o WhatsApp e um malware que compromete pagamentos NFC em dispositivos Android. Pesquisadores da Trend Micro identificaram que o grupo Water Saci está por trás do trojan, que se espalha através de arquivos HTA e PDFs maliciosos. Os cibercriminosos utilizam contatos confiáveis para enganar as vítimas, aumentando a probabilidade de que elas baixem os arquivos infectados. Uma vez instalado, o trojan rouba informações sensíveis, como senhas e dados de cartões de crédito. Além disso, o malware RelayNFC, que afeta pagamentos NFC, permite que hackers realizem transações fraudulentas ao interceptar dados do cartão da vítima quando este é encostado no dispositivo. Essa nova era de ameaças digitais no Brasil destaca a vulnerabilidade dos usuários e a necessidade de medidas de segurança mais robustas, especialmente em plataformas amplamente utilizadas como o WhatsApp.

O SmartTube, um aplicativo de código aberto amplamente utilizado para acessar o YouTube em TVs Android, foi recentemente comprometido por cibercriminosos que conseguiram roubar a chave de assinatura do aplicativo. Isso resultou na distribuição de versões alteradas do app, que continham malware. O desenvolvedor, Yuliskov, já removeu as versões afetadas e lançou uma nova versão beta com uma chave de assinatura atualizada. O malware, localizado na biblioteca libalphasdk.so, coleta informações do dispositivo, como aplicativos instalados e endereço IP, mas, segundo especialistas, não houve vazamento de dados de contas. O Google Play Protect conseguiu bloquear a instalação do malware em muitos dispositivos antes que os usuários percebessem o problema. Para os usuários do SmartTube, é recomendado desinstalar as versões comprometidas e instalar apenas a versão 30.56, que é considerada segura. Essa versão pode ser encontrada no GitHub, já que o aplicativo não está mais disponível na Play Store. O uso de versões não oficiais ou aplicativos que prometem consertar o problema deve ser evitado, pois isso pode aumentar os riscos de segurança.

Um novo malware para Android, denominado Albiriox, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso opera como um modelo MaaS (Malware as a Service) e é projetado para realizar fraudes em tempo real, utilizando dados bancários das vítimas. O Albiriox foi identificado em fóruns de cibercrime de língua russa e possui recursos avançados que permitem manipular a tela do dispositivo de forma automatizada e imperceptível.

O malware já possui uma lista pré-programada com mais de 400 aplicativos visados, principalmente voltados para finanças, como bancos e carteiras de criptomoedas. Desde sua detecção em setembro, o Albiriox tem evoluído, utilizando táticas de phishing para infectar dispositivos, como o envio de mensagens SMS com links encurtados que redirecionam para aplicativos falsos. Uma vez instalado, o malware consegue controlar o dispositivo em tempo real, coletando informações sensíveis e burlando métodos tradicionais de autenticação.

No dia 2 de dezembro de 2025, o Google lançou atualizações mensais de segurança para o sistema operacional Android, abordando um total de 107 falhas de segurança, incluindo duas vulnerabilidades de alta gravidade que já foram exploradas ativamente. As falhas identificadas são: CVE-2025-48633, uma vulnerabilidade de divulgação de informações no Framework, e CVE-2025-48572, uma vulnerabilidade de elevação de privilégios também no Framework. O Google não forneceu detalhes sobre a natureza dos ataques ou se as vulnerabilidades foram utilizadas em conjunto. No entanto, a empresa indicou que há sinais de exploração limitada e direcionada. Além disso, uma vulnerabilidade crítica (CVE-2025-48631) que poderia resultar em negação de serviço remoto foi corrigida. As atualizações incluem dois níveis de patch, 2025-12-01 e 2025-12-05, permitindo que os fabricantes de dispositivos abordem rapidamente as vulnerabilidades comuns a todos os dispositivos Android. Os usuários são aconselhados a atualizar seus dispositivos assim que os patches estiverem disponíveis. Este lançamento ocorre três meses após a correção de duas falhas ativamente exploradas no Kernel do Linux e no Android Runtime.

Um novo malware para Android, chamado Albiriox, foi identificado como parte de um modelo de malware-as-a-service (MaaS), oferecendo uma gama completa de funcionalidades para facilitar fraudes em dispositivos. O malware contém uma lista codificada de mais de 400 aplicativos, incluindo bancos e plataformas de criptomoedas. Os pesquisadores da Cleafy relataram que o Albiriox é distribuído por meio de aplicativos dropper, utilizando técnicas de engenharia social para enganar os usuários. Uma vez instalado, o malware solicita permissões para instalar outros aplicativos, permitindo o controle remoto do dispositivo. O Albiriox utiliza uma conexão TCP não criptografada para comunicação com o comando e controle (C2), permitindo que os atacantes executem comandos remotamente e capturem informações sensíveis. Além disso, o malware é capaz de realizar ataques de sobreposição em aplicativos bancários, roubando credenciais sem que os usuários percebam. A ameaça é particularmente relevante para usuários na Áustria, onde campanhas específicas foram observadas. A disseminação de ferramentas de cibercrime como o Albiriox representa um risco crescente para a segurança dos dispositivos móveis, especialmente em um cenário onde a fraude em dispositivos está se tornando cada vez mais sofisticada.

Pesquisadores da Certo Software identificaram um novo spyware para Android chamado RadzaRat, que também atua como um trojan de acesso remoto (RAT), permitindo que hackers tenham controle total sobre os dispositivos infectados. Disfarçado como um gerenciador de arquivos, o aplicativo malicioso não é detectado por nenhum dos 66 antivírus testados, o que o torna extremamente perigoso. O RadzaRat é capaz de registrar tudo que o usuário digita (keylogging), possibilitando o roubo de informações sensíveis, como senhas e dados de cartão de crédito.

Pesquisadores da Universidade de Michigan e da CMU identificaram uma nova vulnerabilidade no sistema Android, especificamente em dispositivos da Google e Samsung, chamada Pixnapping. Essa falha permite que atacantes capturem informações exibidas na tela, incluindo códigos de autenticação de dois fatores (2FA), utilizando uma técnica de canal lateral que burla as proteções visuais do sistema. O ataque explora o SurfaceFlinger, um mecanismo de renderização de imagens, e foi testado em cinco modelos de aparelhos com versões do Android entre 13 e 16. Apesar de uma correção oficial (CVE-2025-48561) ter sido lançada, os especialistas conseguiram contornar o patch rapidamente. Para que o ataque ocorra, a vítima precisa instalar um aplicativo malicioso que utiliza a API de desfoque de janelas para espionar a atividade do usuário. A Google não planeja corrigir essa falha, que é considerada bloqueada por padrão, mas tanto a Google quanto a Samsung pretendem implementar medidas de mitigação até dezembro. Especialistas recomendam que os usuários mantenham seus dispositivos atualizados e evitem aplicativos de fontes não confiáveis.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Sturnus, que permite o roubo de credenciais e a tomada total do dispositivo para fraudes financeiras. Uma das características mais notáveis do Sturnus é sua capacidade de contornar mensagens criptografadas, capturando conteúdo diretamente da tela do dispositivo após a descriptografia. Isso permite que o malware monitore comunicações em aplicativos como WhatsApp, Telegram e Signal. Além disso, o Sturnus realiza ataques de sobreposição, exibindo telas de login falsas sobre aplicativos bancários para roubar credenciais dos usuários. O malware é direcionado a instituições financeiras na Europa Central e do Sul, utilizando sobreposições específicas para cada região. Após ser ativado, o Sturnus se conecta a um servidor remoto via WebSocket e HTTP, recebendo cargas úteis criptografadas. Ele também pode abusar dos serviços de acessibilidade do Android para capturar pressionamentos de tecla e registrar interações da interface do usuário. O Sturnus é projetado para evitar a detecção, bloqueando tentativas de desinstalação e monitorando continuamente a atividade do dispositivo. Embora sua disseminação ainda seja limitada, a combinação de geografia-alvo e foco em aplicativos de alto valor sugere que os atacantes estão refinando suas ferramentas para operações mais amplas no futuro.

O Google anunciou que a adoção da linguagem de programação Rust no Android resultou em uma queda significativa nas vulnerabilidades de segurança relacionadas à memória, que agora representam menos de 20% do total. Jeff Vander Stoep, do Google, destacou que a transição para Rust trouxe uma redução de 1000 vezes na densidade de vulnerabilidades de segurança de memória em comparação ao código em C e C++. Além disso, as mudanças em Rust têm uma taxa de reversão quatro vezes menor e demandam 25% menos tempo em revisão de código, tornando o desenvolvimento não apenas mais seguro, mas também mais ágil. Desde 2019, o número de vulnerabilidades de segurança de memória caiu de 223 para menos de 50 em 2024. O Google planeja expandir o uso de Rust em outras partes do ecossistema Android, como no kernel e em aplicativos críticos. Apesar dos avanços, a empresa enfatiza a importância de uma abordagem de defesa em profundidade, ressaltando que as características de segurança da linguagem são apenas uma parte de uma estratégia abrangente. Um exemplo de vulnerabilidade descoberta foi a CVE-2025-48530, que poderia ter permitido execução remota de código, mas foi corrigida antes de ser divulgada publicamente.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.

O malware Herodotus, um novo trojan bancário para Android, está circulando como uma oferta de Malware-as-a-Service (MaaS), explorando engenharia social e abuso de permissões para contornar soluções de segurança tradicionais. Ele se espalha por campanhas de phishing via SMS, redirecionando as vítimas para páginas de download falsas, onde instalam o APK malicioso fora da Play Store oficial. Após a instalação e concessão de permissões críticas, o Herodotus assume o controle total do dispositivo, realizando operações bancárias não autorizadas enquanto os usuários estão logados em suas contas financeiras.

Pesquisadores da ESET identificaram 12 aplicativos maliciosos para Android que gravam conversas e chamadas dos usuários sem o seu conhecimento. Esses aplicativos, disfarçados de plataformas de mensagens, são utilizados por cibercriminosos para instalar um spyware chamado VajraSpy nos dispositivos. O ataque começa com uma abordagem que cria uma falsa sensação de confiança, levando a vítima a instalar o aplicativo malicioso. Uma vez instalado, o VajraSpy tem acesso a informações confidenciais, como contatos, mensagens e localização, além de poder gravar áudios e chamadas. Embora alguns desses aplicativos tenham sido removidos da Google Play Store, outros ainda estão disponíveis, exigindo que os usuários tenham cautela ao baixar novos aplicativos. Para se proteger, recomenda-se não clicar em links suspeitos, verificar a reputação dos aplicativos e estar atento a sinais de infecção, como solicitações inesperadas de acesso ao microfone e consumo excessivo de bateria. A instalação de um antivírus também é uma medida recomendada para detectar atividades suspeitas em tempo real.

Um novo malware para Android, identificado como ‘Android/BankBot-YNRK’, está causando preocupação entre usuários de criptomoedas na Indonésia e em outros países do sudeste asiático. Este trojan bancário se disfarça de aplicativos populares, como WhatsApp e TikTok, e é capaz de drenar carteiras de criptomoedas sem que as vítimas percebam. O malware utiliza recursos de acessibilidade do Android para obter controle total do dispositivo, permitindo que os cibercriminosos acessem dados bancários, senhas e chaves de criptomoedas. Uma das características mais alarmantes do vírus é sua capacidade de desativar notificações e alertas, tornando difícil para o usuário perceber transações suspeitas em andamento. Além disso, o malware pode capturar imagens em tempo real, facilitando o roubo de credenciais de acesso. A Cyfirma, empresa de cibersegurança que identificou a ameaça, alerta que o vírus se espalha principalmente por meio de downloads de APKs de fontes não oficiais, enganando os usuários com simulações de verificações de dados pessoais. A situação é crítica, especialmente para dispositivos com Android 13 e versões anteriores, que oferecem permissões que facilitam a ação do malware.

O artigo aborda a segurança dos dispositivos Android, especialmente os da linha Samsung Galaxy, desmistificando a ideia de que o sistema é inerentemente inseguro. Com o aumento do trabalho remoto, a segurança dos dados corporativos se torna uma preocupação central para administradores de TI. A plataforma Samsung Knox é apresentada como uma solução robusta que combina proteções de hardware e software, permitindo um controle mais profundo sobre os dispositivos e dados da empresa. Entre as funcionalidades destacadas, estão a proteção proativa contra malware, com o Google Play Protect e o Samsung Message Guard, que previnem ataques de zero-click. Além disso, a plataforma oferece ferramentas para gerenciar atualizações de forma eficiente, permitindo que administradores controlem o timing e a versão dos updates, minimizando interrupções. O artigo também enfatiza que a maioria das violações de segurança está relacionada a falhas humanas, e não apenas a vulnerabilidades de plataforma. Portanto, a implementação de políticas de segurança e a utilização de soluções como o Samsung Knox são essenciais para garantir a proteção dos dados corporativos.

Em 3 de novembro de 2025, o Google divulgou seu Boletim de Segurança Android, revelando uma vulnerabilidade crítica de execução remota de código (CVE-2025-48593) que afeta dispositivos Android em todo o mundo. Essa falha, que não requer interação do usuário para ser explorada, representa um risco severo, pois permite que atacantes executem código arbitrário em dispositivos vulneráveis. A vulnerabilidade impacta as versões Android 13, 14, 15 e 16, e a sua gravidade é acentuada pelo fato de que os usuários não podem mitigar o problema através de mudanças de comportamento ou práticas de segurança. O Google recomenda que todos os dispositivos com nível de patch de segurança de 2025-11-01 ou posterior sejam atualizados imediatamente para se proteger contra essa e outras ameaças. Além disso, uma outra vulnerabilidade de elevação de privilégios (CVE-2025-48581) foi identificada, afetando exclusivamente o Android 16. O Google também enfatiza a importância de atualizações regulares e o uso do Google Play Protect para aumentar a segurança dos dispositivos.

Pesquisadores de cibersegurança identificaram dois novos trojans para Android, BankBot-YNRK e DeliveryRAT, que têm a capacidade de coletar dados sensíveis de dispositivos comprometidos. O BankBot-YNRK, por exemplo, evita a detecção ao verificar se está sendo executado em um ambiente virtualizado e coleta informações sobre o dispositivo, como fabricante e modelo. Ele se disfarça como um aplicativo governamental indonésio, ‘Identitas Kependudukan Digital’, e, uma vez instalado, silencia notificações para não alertar a vítima sobre atividades suspeitas. O malware é projetado para operar em dispositivos Android 13 e anteriores, já que a versão 14 introduziu novas proteções contra o uso indevido de serviços de acessibilidade. Por outro lado, o DeliveryRAT, que tem sido distribuído sob a forma de serviços de entrega, coleta dados de SMS e registros de chamadas, além de ocultar seu ícone para dificultar a remoção. Ambos os trojans representam uma ameaça significativa, especialmente para usuários de dispositivos Android no Brasil, onde a segurança de dados financeiros é uma preocupação crescente.

O malware Herodotus, recentemente identificado pela Threat Fabric, tem gerado preocupações no Brasil e na Itália por sua capacidade de imitar o comportamento humano e enganar sistemas de segurança bancários. Este software malicioso, que opera como um Malware-as-a-Service (MaaS), é distribuído através de fraudes conhecidas como SMiShing, onde usuários recebem mensagens de texto com links maliciosos. Ao clicar no link, a vítima baixa um dropper que instala o Herodotus no dispositivo Android, permitindo que o malware obtenha acesso total ao aparelho.

Em resposta à crescente ameaça de golpes móveis, a Google anunciou melhorias significativas na proteção do Android, utilizando inteligência artificial para combater fraudes. Em um relatório divulgado em 30 de outubro de 2025, a empresa destacou que suas defesas baseadas em IA superam as de outras plataformas, com um impacto positivo na segurança dos usuários. No último ano, os golpes móveis geraram perdas superiores a 400 bilhões de dólares globalmente. O sistema do Android processa mensalmente mais de 10 bilhões de chamadas e mensagens suspeitas, bloqueando mais de 100 milhões de números fraudulentos recentemente. A pesquisa realizada pela YouGov, envolvendo 5.000 usuários nos EUA, Índia e Brasil, revelou que usuários do Android, especialmente os do Google Pixel, relataram menos mensagens de golpe em comparação aos usuários do iOS. Além disso, a análise de segurança da Leviathan Security Group confirmou que o Pixel 10 Pro oferece a melhor proteção contra fraudes. As funcionalidades incluem filtragem automática de spam e detecção de padrões de conversação fraudulentos, garantindo a privacidade dos usuários. Com atualizações contínuas através do Google Play Protect, o Android se mantém à frente das ameaças móveis em constante evolução.

O Google anunciou que suas defesas contra fraudes em Android protegem usuários globalmente, bloqueando mais de 10 bilhões de chamadas e mensagens suspeitas mensalmente. A empresa impediu que mais de 100 milhões de números suspeitos utilizassem os Serviços de Comunicação Ricos (RCS), evitando que fraudes fossem enviadas. Recentemente, o Google implementou links mais seguros no aplicativo Google Messages, alertando os usuários sobre URLs em mensagens marcadas como spam. A análise de relatórios de usuários revelou que fraudes de emprego são as mais comuns, seguidas por golpes financeiros relacionados a contas falsas e esquemas de investimento. O Google também observou um aumento em mensagens fraudulentas enviadas em grupos, o que pode tornar as fraudes menos suspeitas. As mensagens fraudulentas seguem um padrão de envio, com picos de atividade nas manhãs de segunda-feira. Os golpistas utilizam táticas como ‘Spray and Pray’ e ‘Bait and Wait’ para enganar as vítimas, e a operação é apoiada por fornecedores que oferecem serviços de envio em massa. O cenário de mensagens fraudulentas é volátil, com golpistas mudando constantemente de estratégia para evitar a detecção.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Herodotus, que está em campanhas ativas visando usuários na Itália e no Brasil. O malware, que foi anunciado em fóruns underground em setembro de 2025, é projetado para realizar ataques de tomada de controle de dispositivos (DTO) e se destaca por tentar imitar o comportamento humano para evitar a detecção por biometria comportamental. Herodotus é distribuído por aplicativos disfarçados, como uma versão falsa do Google Chrome, e utiliza serviços de acessibilidade para interagir com a tela do dispositivo, exibir telas de login falsas e roubar credenciais. Além disso, o trojan pode interceptar códigos de autenticação de dois fatores (2FA) e instalar arquivos APK remotamente. Uma característica inovadora do Herodotus é a introdução de atrasos aleatórios nas ações remotas, o que simula a digitação humana e dificulta a detecção por soluções antifraude. O malware está em desenvolvimento ativo e já mira organizações financeiras em diversos países, incluindo os EUA e o Reino Unido, ampliando seu alcance. A ameaça representa um risco significativo para usuários de dispositivos Android, especialmente em um contexto onde a segurança financeira é crítica.

Um novo Trojan bancário para Android, chamado Herodotus, foi identificado como uma ameaça sofisticada que utiliza técnicas avançadas para evitar a detecção por biometria comportamental. Desenvolvido por um grupo conhecido como ‘K1R0’, o malware simula padrões de interação humana durante sessões de fraude, introduzindo atrasos aleatórios entre os eventos de entrada de texto, o que dificulta a identificação por sistemas de análise de digitação. Herodotus combina funcionalidades do Trojan Brokewell e é oferecido como Malware-as-a-Service em fóruns clandestinos, indicando sua ampla adoção comercial.

Pesquisadores das Universidades da Califórnia, Carnegie Mellon e Washington identificaram um novo tipo de ataque chamado Pixnapping, que explora vulnerabilidades em dispositivos Android para roubar códigos de autenticação em duas etapas (2FA) e outros dados sensíveis. O ataque é classificado como um ataque de canal lateral, onde o malware consegue contornar as ferramentas de segurança dos navegadores e acessar informações através da API do Android e do hardware do dispositivo. O método utilizado permite que o malware capture dados em apenas 30 segundos, afetando diversos modelos de celulares, incluindo os da Google e Samsung, com versões do Android variando da 13 à 16.

Especialistas em segurança da Cleafy identificaram um novo aplicativo malicioso chamado Mbdro Pro IP TV + VPN, que se disfarça como um serviço de VPN e streaming para Android. Este aplicativo não apenas falha em fornecer as funcionalidades prometidas, mas também instala um trojan bancário conhecido como Klopatra, que ainda não foi classificado em uma família de malwares específica. O Klopatra utiliza engenharia social para enganar os usuários e roubar suas credenciais, permitindo que os atacantes realizem transações fraudulentas. O uso de aplicativos falsos de VPN e IPTV está se tornando uma tendência crescente, com riscos ocultos mesmo em aplicativos legítimos disponíveis na Play Store. Um estudo recente da Open Technology Fund revelou que 32 VPNs comerciais, utilizadas por mais de um bilhão de pessoas, apresentam sérios problemas de segurança. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis e verificar as permissões solicitadas. A situação é alarmante, pois muitos usuários, ao buscar serviços clandestinos, ignoram as soluções de segurança disponíveis.

Uma nova campanha de malware para Android, identificada como GhostBat RAT, está explorando a aparência de aplicativos do Escritório de Transporte Regional (RTO) da Índia para roubar dados bancários e credenciais de UPI de usuários indianos. O malware utiliza técnicas avançadas de ofuscação, dropper em múltiplas etapas e engenharia social para enganar os usuários, sendo distribuído através de aplicativos falsos do mParivahan via WhatsApp, SMS e sites comprometidos.

Após a instalação, o aplicativo falso solicita permissões de SMS sob o pretexto de uma atualização e começa a coletar dados sensíveis. Desde setembro de 2025, foram identificadas mais de 40 amostras de APK maliciosos, que empregam técnicas de evasão como manipulação de cabeçalho ZIP e mecanismos anti-emulação. O malware também realiza phishing, levando os usuários a uma interface falsa de UPI onde são induzidos a inserir seus PINs, que são enviados para um endpoint controlado pelos atacantes.

Pesquisadores da Universidade da Califórnia e outras instituições descobriram uma vulnerabilidade em dispositivos Android da Google e Samsung, que pode ser explorada por meio de um ataque chamado ‘Pixnapping’. Este ataque permite que aplicativos maliciosos capturem códigos de autenticação de dois fatores (2FA), cronogramas do Google Maps e outros dados sensíveis sem o conhecimento do usuário. O método utiliza APIs do Android e um canal lateral de hardware, permitindo que um aplicativo malicioso intercepte dados de outros aplicativos, mesmo sem permissões especiais. O ataque foi testado em cinco dispositivos com Android entre as versões 13 e 16, mas a metodologia pode ser aplicada a todos os dispositivos Android. O Google já está ciente da vulnerabilidade, identificada como CVE-2025-48561, e lançou patches em setembro de 2025. No entanto, um método alternativo para reativar o ataque foi descoberto, e a empresa está trabalhando em uma solução definitiva. A vulnerabilidade também permite que atacantes verifiquem se aplicativos específicos estão instalados no dispositivo, contornando restrições implementadas nas versões mais recentes do Android.

Uma pesquisa da Zimperium revelou uma nova campanha de spyware chamada ClayRat, que se disfarça de aplicativos populares como WhatsApp, TikTok e YouTube para infectar dispositivos Android. O malware, que já afetou mais de 600 usuários, principalmente na Rússia, é disseminado por meio de canais do Telegram e sites maliciosos que imitam serviços legítimos. Os hackers utilizam técnicas de phishing para criar domínios que se assemelham aos originais, levando os usuários a baixar APKs sem o seu conhecimento. Uma vez instalado, o spyware consegue acessar SMS, histórico de chamadas, tirar fotos e até fazer ligações. O malware se comunica com um servidor de comando e controle de forma encriptada, coletando informações do dispositivo e enviando-as aos cibercriminosos. A Zimperium já notificou o Google, que implementou bloqueios no Play Protect, mas a empresa alerta que a campanha é massiva e recomenda cautela ao instalar aplicativos fora da loja oficial. Os usuários devem evitar burlar as configurações de segurança do Android e sempre optar por fontes confiáveis para downloads.

ClayRat é uma nova campanha de spyware para Android que tem ganhado destaque, especialmente entre usuários de língua russa. Nos últimos três meses, pesquisadores da zLabs identificaram mais de 600 amostras únicas e 50 droppers associados a essa ameaça. O ClayRat utiliza engenharia social e sites de phishing para enganar as vítimas, fazendo-as instalar APKs maliciosos disfarçados de aplicativos legítimos como WhatsApp e Google Photos.

Os atacantes registram domínios semelhantes aos oficiais e criam páginas de destino que redirecionam para canais do Telegram, onde comentários manipulados e contagens de downloads inflacionadas ajudam a reduzir a desconfiança. Uma vez instalado, o spyware obtém acesso a mensagens SMS, registros de chamadas e informações do dispositivo, além de capturar fotos pela câmera frontal e enviar mensagens SMS sem o consentimento do usuário.

Uma nova campanha de spyware chamada ClayRat tem se espalhado rapidamente, visando usuários de Android na Rússia. Os atacantes utilizam canais do Telegram e sites de phishing que imitam aplicativos populares como WhatsApp, Google Photos, TikTok e YouTube para enganar as vítimas e induzi-las a instalar o malware. Uma vez ativo, o ClayRat pode exfiltrar mensagens SMS, registros de chamadas, notificações e informações do dispositivo, além de tirar fotos com a câmera frontal e enviar mensagens SMS ou fazer chamadas diretamente do aparelho da vítima.

Um novo Trojan de Acesso Remoto (RAT) para Android, anunciado como totalmente indetectável, foi encontrado publicamente no GitHub, levantando sérias preocupações entre pesquisadores de cibersegurança. Este RAT é projetado para contornar restrições de permissões e processos em segundo plano, especialmente em ROMs chinesas como MIUI e EMUI, representando uma das ameaças mais sofisticadas já observadas no Android.

O malware utiliza um dropper de múltiplas camadas que insere seu payload em aplicativos Android legítimos, permitindo que usuários desavisados instalem APKs comprometidos. Uma vez instalado, o RAT consegue escalar silenciosamente suas permissões, neutralizando o modelo de permissões do usuário. Com comunicação criptografada e técnicas de evasão, ele se torna quase invisível para softwares antivírus.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

Um novo trojan bancário para Android, chamado Klopatra, foi descoberto e já comprometeu mais de 3.000 dispositivos, principalmente na Espanha e na Itália. Identificado pela empresa italiana Cleafy, o malware utiliza uma técnica avançada de controle remoto chamada VNC (Virtual Network Computing) e sobreposições dinâmicas para roubo de credenciais, facilitando transações fraudulentas. Os pesquisadores destacam que Klopatra representa uma evolução significativa na sofisticação do malware móvel, utilizando bibliotecas nativas e uma ferramenta de proteção de código comercial chamada Virbox, o que dificulta sua detecção.

Pesquisadores de cibersegurança identificaram um novo trojan bancário para Android, chamado Datzbro, que realiza ataques de tomada de controle de dispositivos e transações fraudulentas, especialmente visando idosos. A empresa ThreatFabric, da Holanda, descobriu a campanha em agosto de 2025, após relatos de usuários na Austrália sobre golpistas que gerenciavam grupos no Facebook promovendo ‘viagens ativas para idosos’. Os criminosos também atuaram em países como Singapura, Malásia, Canadá, África do Sul e Reino Unido.

Um novo golpe digital está circulando no Brasil, onde golpistas se passam pelo iFood para enganar usuários com a oferta de um cupom de R$ 2 mil. Mensagens de texto com um link encurtado estão sendo enviadas a diversas pessoas, direcionando-as a uma página falsa que imita o site oficial do iFood. Ao acessar, os usuários são incentivados a baixar um aplicativo malicioso em formato APK, que pode comprometer a segurança de seus dispositivos. O aplicativo, que se apresenta como ‘ifood.apk’, pode ser utilizado para bombardear os celulares com anúncios, roubar dados pessoais ou até mesmo permitir acesso remoto aos aparelhos. O iFood já se manifestou, alertando que não realiza sorteios ou promoções dessa natureza e que todas as comunicações legítimas são feitas por canais oficiais. Para se proteger, os usuários devem evitar clicar em links suspeitos, não compartilhar informações pessoais e denunciar mensagens como spam. O golpe destaca a importância da conscientização sobre segurança digital e a necessidade de cautela ao lidar com ofertas que parecem boas demais para ser verdade.

Um relatório recente da Zimperium revelou que 33% dos aplicativos Android e 20% dos aplicativos iOS apresentam vulnerabilidades que podem expor dados sensíveis dos usuários. O estudo destaca que cerca de 50% dos aplicativos ainda contêm segredos hardcoded, como chaves de API, que podem ser explorados por cibercriminosos. Além disso, 1 em cada 5 dispositivos Android é afetado por malware, e quase 1 em cada 3 aplicativos financeiros no Android é vulnerável a ataques man-in-the-middle, mesmo com defesas SSL. As fraquezas no lado do cliente estão facilitando novas formas de roubo de dados e manipulação de aplicativos. Especialistas sugerem que, para melhorar a segurança, os fabricantes devem atualizar constantemente os aplicativos e criar APIs mais seguras. A mudança de foco deve ser na proteção do próprio trabalho dos aplicativos, em vez de apenas proteger os dispositivos. O relatório alerta para a necessidade urgente de ações para mitigar essas vulnerabilidades e proteger os usuários contra ataques maliciosos.