Android

Um novo golpe digital está circulando no Brasil, onde golpistas se passam pelo iFood para enganar usuários com a oferta de um cupom de R$ 2 mil. Mensagens de texto com um link encurtado estão sendo enviadas a diversas pessoas, direcionando-as a uma página falsa que imita o site oficial do iFood. Ao acessar, os usuários são incentivados a baixar um aplicativo malicioso em formato APK, que pode comprometer a segurança de seus dispositivos. O aplicativo, que se apresenta como ‘ifood.apk’, pode ser utilizado para bombardear os celulares com anúncios, roubar dados pessoais ou até mesmo permitir acesso remoto aos aparelhos. O iFood já se manifestou, alertando que não realiza sorteios ou promoções dessa natureza e que todas as comunicações legítimas são feitas por canais oficiais. Para se proteger, os usuários devem evitar clicar em links suspeitos, não compartilhar informações pessoais e denunciar mensagens como spam. O golpe destaca a importância da conscientização sobre segurança digital e a necessidade de cautela ao lidar com ofertas que parecem boas demais para ser verdade.

Um relatório recente da Zimperium revelou que 33% dos aplicativos Android e 20% dos aplicativos iOS apresentam vulnerabilidades que podem expor dados sensíveis dos usuários. O estudo destaca que cerca de 50% dos aplicativos ainda contêm segredos hardcoded, como chaves de API, que podem ser explorados por cibercriminosos. Além disso, 1 em cada 5 dispositivos Android é afetado por malware, e quase 1 em cada 3 aplicativos financeiros no Android é vulnerável a ataques man-in-the-middle, mesmo com defesas SSL. As fraquezas no lado do cliente estão facilitando novas formas de roubo de dados e manipulação de aplicativos. Especialistas sugerem que, para melhorar a segurança, os fabricantes devem atualizar constantemente os aplicativos e criar APIs mais seguras. A mudança de foco deve ser na proteção do próprio trabalho dos aplicativos, em vez de apenas proteger os dispositivos. O relatório alerta para a necessidade urgente de ações para mitigar essas vulnerabilidades e proteger os usuários contra ataques maliciosos.

A Samsung lançou um patch para corrigir uma vulnerabilidade zero-day, identificada como CVE-2025-21043, que afeta celulares Android da marca rodando Android 13 ou superior. A falha foi reportada pelas equipes da Meta e do WhatsApp em 13 de agosto de 2025 e permite que hackers executem código malicioso remotamente em dispositivos vulneráveis. A vulnerabilidade está relacionada a uma biblioteca de análise de imagens desenvolvida pela Quramsoft, que é utilizada em diversos aplicativos, incluindo o WhatsApp. Embora a Samsung não tenha especificado se os ataques afetaram apenas usuários do WhatsApp, a possibilidade de outros aplicativos de mensagem serem vulneráveis também foi levantada. A empresa recomendou que os usuários atualizem seus dispositivos e realizem uma reinicialização para as configurações de fábrica. Além disso, pesquisadores notaram que hackers começaram a explorar uma vulnerabilidade semelhante em servidores MagicINFO 9 da Samsung, utilizados em ambientes como aeroportos e hospitais. A correção da falha é crucial para proteger os usuários contra potenciais ataques que podem comprometer a segurança de seus dados e dispositivos.

A Samsung lançou suas atualizações mensais de segurança para o Android, incluindo um patch para uma vulnerabilidade crítica identificada como CVE-2025-21043, que possui uma pontuação CVSS de 8.8. Essa falha, relacionada a uma escrita fora dos limites no arquivo libimagecodec.quram.so, permite que atacantes remotos executem código arbitrário em dispositivos afetados. A vulnerabilidade impacta as versões 13, 14, 15 e 16 do Android e foi divulgada à Samsung em 13 de agosto de 2025. Embora a empresa não tenha fornecido detalhes sobre como a vulnerabilidade está sendo explorada, reconheceu que um exploit já está em circulação. Essa situação surge após a Google ter resolvido duas falhas de segurança em Android que também estavam sendo exploradas em ataques direcionados. A correção é essencial para proteger os usuários de dispositivos Samsung contra possíveis ataques que possam comprometer a segurança de seus dados.

Pesquisadores de segurança da ThreatFabric MTI descobriram um novo trojan bancário para Android, chamado RatOn, que combina táticas clássicas de sobreposição e relé NFC com acesso remoto completo e capacidades de Sistema de Transferência Automatizada (ATS). Emergiu em 5 de julho de 2025 e evoluiu até 29 de agosto de 2025, representando a primeira integração conhecida de ataques de relé NFC em um framework de Trojan de Acesso Remoto.

O ataque começa quando as vítimas baixam um APK malicioso disfarçado de instalador de aplicativos de sites adultos da República Tcheca e da Eslováquia. Após a instalação, o trojan solicita permissões de Acessibilidade e Administrador do Dispositivo, permitindo que opere em segundo plano. RatOn monitora continuamente o estado do dispositivo, enviando capturas de tela e descrições textuais dos elementos da interface do usuário para seu servidor de controle.

Um novo malware para Android, denominado RatOn, evoluiu de uma ferramenta básica para um sofisticado trojan de acesso remoto, capaz de realizar fraudes financeiras. De acordo com um relatório da ThreatFabric, o RatOn combina ataques de sobreposição tradicionais com transferências automáticas de dinheiro e funcionalidades de comunicação por campo próximo (NFC), tornando-se uma ameaça poderosa. O malware visa aplicativos de carteira de criptomoedas, como MetaMask e Trust, e pode realizar transferências automáticas utilizando um aplicativo bancário específico da República Tcheca.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) elevou a prioridade de uma nova vulnerabilidade zero-day no componente Android Runtime, classificando-a como de alta gravidade. A falha, identificada como CVE-2025-48543, resulta de um erro de uso após a liberação de memória, permitindo que atacantes escapem do sandbox do Chrome e executem código arbitrário, potencialmente elevando privilégios a nível root em dispositivos Android. A CISA recomenda que organizações e usuários finais implementem medidas de mitigação até 25 de setembro de 2025 para evitar possíveis violações de dados ou controle não autorizado de dispositivos. A vulnerabilidade é especialmente preocupante devido à ampla adoção do Android, que opera bilhões de dispositivos globalmente, expondo dados pessoais e credenciais a agentes maliciosos. As recomendações incluem verificar atualizações de firmware, endurecer configurações do Android Runtime e implementar diretrizes operacionais para monitoramento. Embora não haja evidências de ligação com campanhas de ransomware, a urgência para a aplicação de patches é destacada, uma vez que sistemas não corrigidos permanecerão vulneráveis a acessos não autorizados e exfiltração de dados.

No segundo trimestre de 2025, a Kaspersky identificou 143.000 pacotes de instalação maliciosos direcionados a dispositivos Android e novas variantes de spyware que infiltraram o ecossistema iOS. Embora o número total de incidentes de malware móvel tenha diminuído para 10,71 milhões em comparação ao trimestre anterior, os trojans e malwares bancários continuam a representar os riscos mais severos para os usuários de smartphones. Os trojans bancários, especialmente da família Mamont, foram responsáveis por 42.220 das infecções, destacando-se o Mamont.ev, que teve um aumento significativo de atividade. Além disso, um novo spyware chamado SparkKitty, que coleta imagens e códigos de recuperação de carteiras de criptomoedas, foi detectado em ambas as plataformas. A descoberta de backdoors pré-instalados em dispositivos Android e a utilização de serviços VPN fraudulentos para ocultar funcionalidades de spyware também foram alarmantes. Apesar da queda no número de incidentes, a qualidade e a diversidade das ameaças aumentaram, exigindo vigilância constante na instalação de aplicativos e na integridade da cadeia de suprimentos.

O Hook v3, a mais recente variante do trojan bancário para Android, apresenta um conjunto alarmante de funcionalidades, incluindo sobreposições de ransomware, prompts bancários falsos e funções de spyware. Pesquisadores da Zimperium zLabs identificaram que o malware agora suporta 107 comandos remotos, com 38 novos na última atualização, explorando os Serviços de Acessibilidade do Android. Essa evolução sugere uma transição de fraudes bancárias específicas para uma plataforma de ameaças mais versátil, aumentando o risco para usuários e instituições financeiras. Entre as novas táticas, destacam-se sobreposições que imitam telas de desbloqueio e pagamentos, como o Google Pay, que induzem as vítimas a fornecer dados sensíveis. Além disso, a capacidade de streaming em tempo real permite que os atacantes monitorem as atividades dos dispositivos das vítimas. O Hook v3 se espalha por meio de sites de phishing e APKs maliciosos hospedados no GitHub, o que facilita sua disseminação. A combinação de roubo passivo e monitoramento ativo torna essa ameaça particularmente intrusiva e preocupante para a segurança cibernética.

Especialistas em cibersegurança, como os da ThreatFabric, alertam sobre a evolução dos malwares para Android, que agora utilizam aplicativos do tipo dropper para instalar não apenas trojans bancários, mas também ladrões de SMS e spywares básicos. Apesar das recentes proteções implementadas pelo Google em mercados como Brasil, Cingapura, Índia e Tailândia, que visam impedir a instalação de aplicativos suspeitos fora da Play Store, os hackers estão se adaptando. Eles criam droppers que evitam a detecção ao baixar malwares após a instalação do aplicativo, contornando assim o Play Protect, que verifica os aplicativos antes de serem executados. Uma nova tática utilizada pelos criminosos é a exibição de telas de atualização que parecem inofensivas, mas que na verdade solicitam permissões para instalar malwares. Isso significa que, mesmo com as proteções, o usuário pode acabar aceitando a instalação de vírus, especialmente se ignorar os avisos do Google. O Google afirma que continua a melhorar suas proteções e que aplicativos maliciosos são constantemente removidos da Play Store. No entanto, a vulnerabilidade humana permanece um fator crítico na segurança dos dispositivos Android.

Em setembro de 2025, o Google lançou atualizações de segurança para corrigir 120 vulnerabilidades no sistema operacional Android, incluindo duas falhas críticas que já foram exploradas em ataques direcionados. As vulnerabilidades CVE-2025-38352 e CVE-2025-48543, ambas relacionadas a escalonamento de privilégios, permitem que um invasor obtenha acesso elevado sem a necessidade de permissões adicionais ou interação do usuário. O Google não divulgou detalhes sobre como essas falhas foram utilizadas em ataques reais, mas indicou que há evidências de exploração limitada e direcionada. Além dessas, foram corrigidas várias outras vulnerabilidades que afetam componentes do Framework e do Sistema, incluindo falhas de execução remota de código e negação de serviço. Para facilitar a implementação das correções, o Google disponibilizou dois níveis de patch de segurança, permitindo que parceiros do Android abordem rapidamente as vulnerabilidades comuns. A empresa enfatizou a importância de que todos os parceiros implementem as correções recomendadas. Este cenário destaca a necessidade de vigilância contínua e atualização dos sistemas para mitigar riscos de segurança.

Os usuários de Android em todo o mundo devem instalar imediatamente o patch de segurança de setembro de 2025 para proteger seus dispositivos contra vulnerabilidades de alta severidade que estão sendo ativamente exploradas. Lançada em 1º de setembro de 2025, a atualização aborda várias falhas críticas, incluindo duas que já foram confirmadas como alvo de exploração limitada e direcionada.

As vulnerabilidades mais preocupantes incluem uma falha de execução remota de código no componente do sistema, que permite a execução de código arbitrário sem privilégios adicionais ou interação do usuário. Além disso, duas falhas de Elevação de Privilégios (EoP) no Android Runtime e no Sistema, ambas classificadas como de alta severidade, também requerem atenção imediata.

Pesquisadores em cibersegurança alertam para uma nova tendência no cenário de malware para Android, onde aplicativos dropper, tradicionalmente usados para distribuir trojans bancários, agora também estão veiculando malwares mais simples, como ladrões de SMS e spyware básico. Essas campanhas estão sendo disseminadas por aplicativos que se disfarçam de aplicativos governamentais ou bancários, especialmente na Índia e em outras partes da Ásia. A ThreatFabric, empresa de segurança móvel, destacou que essa mudança é impulsionada pelas novas proteções de segurança que o Google implementou em mercados como Brasil, Índia, Singapura e Tailândia, visando bloquear a instalação de aplicativos suspeitos que solicitam permissões perigosas. Apesar das defesas do Google Play Protect, os atacantes estão adaptando suas táticas para contornar essas proteções, criando droppers que não solicitam permissões de alto risco e que exibem apenas uma tela de ‘atualização’ inofensiva. O verdadeiro payload é baixado apenas após o usuário clicar no botão de atualização. Um exemplo de dropper identificado é o RewardDropMiner, que tem sido utilizado para distribuir malwares direcionados a usuários na Índia. Além disso, uma nova campanha de malvertising está utilizando anúncios maliciosos no Facebook para disseminar um trojan bancário, atingindo usuários na União Europeia. Essa situação destaca a constante evolução das táticas dos cibercriminosos e a necessidade de vigilância contínua.

Cibercriminosos estão utilizando a plataforma de anúncios do Facebook para disseminar malware avançado para dispositivos Android. Um estudo da Bitdefender Labs documentou uma série de ataques em 2025, onde anúncios falsos promovem versões gratuitas do TradingView Premium, levando usuários a sites fraudulentos. Esses sites imitam páginas legítimas e induzem os usuários a baixar um arquivo APK malicioso que solicita permissões avançadas, como acesso à acessibilidade. O malware, uma variante evoluída do Brokewell, utiliza técnicas de ofuscação para evitar detecção e, uma vez instalado, permite que atacantes tenham controle total sobre os dispositivos comprometidos. Isso inclui a capacidade de roubar dados financeiros, contornar autenticações de dois fatores e até mesmo ativar microfones e câmeras. A campanha é global, com anúncios localizados em várias línguas e direcionados a usuários de Android, enquanto usuários de outras plataformas veem conteúdo benigno. A Bitdefender recomenda que usuários móveis instalem aplicativos apenas de fontes confiáveis e revisem cuidadosamente as permissões solicitadas.

A empresa de segurança mobile Zimperium alertou sobre uma nova variante do trojan bancário Hook, agora denominado Hook Versão 3, que se transformou em uma ameaça híbrida, atuando como spyware, ransomware e ferramenta de hacking. Este malware é capaz de executar 107 comandos remotos e possui 38 funções adicionais, aproveitando-se dos serviços de acessibilidade do Android para obter permissões irrestritas no dispositivo da vítima.

Uma das características mais preocupantes do Hook Versão 3 é sua capacidade de criar telas falsas transparentes, que imitam a tela de bloqueio e as telas de pagamento do Google Play, com o objetivo de roubar informações sensíveis, como PINs e dados de cartões de crédito. Além disso, o malware transmite a tela do celular em tempo real para os cibercriminosos, permitindo que eles monitorem as atividades da vítima. O ransomware também pode bloquear a tela do dispositivo, exigindo um pagamento em criptomoedas para a liberação.

Pesquisadores de segurança da Zscaler ThreatLabs identificaram 77 aplicativos maliciosos na Google Play Store, que foram baixados mais de 19 milhões de vezes. A maioria desses aplicativos, cerca de 25%, estava associada ao malware Joker, que pode enviar mensagens de texto, capturar telas, fazer chamadas telefônicas e roubar informações sensíveis dos usuários. Além do Joker, variantes como Harly e o trojan bancário Anatsa também foram detectados, sendo que este último pode roubar credenciais de login de mais de 800 aplicativos bancários e de criptomoedas. Os aplicativos maliciosos, descritos como “maskware”, funcionam normalmente, mas em segundo plano realizam atividades prejudiciais. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis, ativar o Play Protect, verificar as avaliações e permissões solicitadas pelos aplicativos antes da instalação. Essa situação evidencia que mesmo a Google Play Store, considerada uma fonte segura, não é imune a ameaças.

A equipe de pesquisa zLabs da Zimperium revelou uma evolução significativa do trojan bancário Hook para Android, agora na versão Hook v3, que incorpora 107 comandos remotos, sendo 38 novos recursos que ampliam suas capacidades. Entre as inovações mais preocupantes estão as sobreposições de estilo ransomware, que exibem mensagens de extorsão em tela cheia com detalhes de pagamento em criptomoeda, e um mecanismo agressivo de bypass de tela de bloqueio, que engana as vítimas a inserirem suas credenciais. Além disso, o malware pode exibir uma tela de escaneamento NFC falsa para roubar dados de pagamento sensíveis.

O Google anunciou que começará a verificar a identidade de todos os desenvolvedores que distribuem aplicativos no Android, incluindo aqueles que o fazem fora da Play Store. A medida visa aumentar a responsabilidade e dificultar a distribuição de aplicativos maliciosos. A partir de outubro de 2025, convites para a verificação serão enviados gradualmente, com a implementação total prevista para setembro de 2026 em países como Brasil, Indonésia, Cingapura e Tailândia. A vice-presidente do Android, Suzanne Frey, destacou que todos os aplicativos instalados em dispositivos Android certificados nessas regiões precisarão ser registrados por desenvolvedores verificados. Embora os desenvolvedores que já utilizam a Play Store não enfrentem grandes mudanças, a nova exigência busca impedir que atores maliciosos se façam passar por desenvolvedores legítimos. Além disso, a Google já havia implementado outras medidas de segurança, como a exigência de um número D-U-N-S para novos registros de contas de desenvolvedores organizacionais. Essas mudanças visam proteger os usuários de malware e fraudes, mantendo a escolha do usuário enquanto reforçam a segurança do ecossistema Android.

Pesquisadores de cibersegurança identificaram uma nova variante do trojan bancário HOOK, que agora incorpora telas de sobreposição no estilo ransomware para extorquir vítimas. Essa variante é capaz de exibir uma tela de alerta em tela cheia, que apresenta uma mensagem alarmante de ‘AVISO’, juntamente com um endereço de carteira e um valor, ambos recuperados dinamicamente de um servidor de comando e controle (C2). O ataque é iniciado remotamente quando o comando ‘ransome’ é enviado pelo servidor C2, e o atacante pode remover a sobreposição com o comando ‘delete_ransome’.

Pesquisadores de cibersegurança da McAfee descobriram uma campanha sofisticada de phishing no Android que visa usuários indianos, disfarçando-se como parte do programa de subsídio de eletricidade PM Surya Ghar do governo. O ataque utiliza uma operação de engenharia social em múltiplas etapas, incluindo vídeos no YouTube, sites falsos e aplicativos maliciosos hospedados no GitHub, com o objetivo de roubar informações financeiras e obter controle remoto dos dispositivos infectados.

A campanha começa com vídeos promocionais no YouTube que prometem subsídios de eletricidade por meio de um aplicativo móvel. Esses vídeos contêm URLs encurtadas que redirecionam as vítimas para sites de phishing que imitam de perto o portal oficial do programa. O site fraudulento apresenta instruções de registro falsas e um ícone enganoso do Google Play, que, ao ser clicado, baixa um arquivo APK malicioso.

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.

Pesquisadores de cibersegurança da Hunt.io descobriram e analisaram o código-fonte completo do ERMAC V3.0, um dos trojans bancários mais sofisticados para Android. O vazamento ocorreu em março de 2024, quando a equipe identificou um diretório exposto contendo o pacote completo do malware, incluindo seu backend em PHP e Laravel, frontend em React e servidor de exfiltração em Golang. O ERMAC V3.0 é capaz de atacar mais de 700 aplicativos de bancos, compras e criptomoedas globalmente, utilizando técnicas avançadas de injeção de formulários para roubar credenciais e dados financeiros. A análise revelou vulnerabilidades críticas, como segredos JWT hardcoded e credenciais padrão não alteradas, que podem ser exploradas por defensores. Além disso, o malware utiliza criptografia AES-CBC, mas com uma chave e nonce hardcoded, o que facilita sua detecção. A Hunt.io também conseguiu vincular o código vazado a operações ativas do ERMAC, destacando a necessidade urgente de medidas de segurança mais robustas contra esse tipo de ameaça.