Android

Novo malware RedWing ameaça segurança bancária em dispositivos Android

Um novo malware para Android, denominado RedWing, está sendo comercializado no Telegram como um serviço de fraude bancária acessível até para criminosos de baixa habilidade. De acordo com a Zimperium, que identificou a operação, o RedWing é uma variante do malware Oblivion, e é oferecido em pacotes de assinatura que incluem descontos por indicação, guias e vídeos explicativos, permitindo que qualquer comprador crie um aplicativo personalizado sob demanda.

O processo de infecção começa com um link de phishing que direciona a vítima a uma página falsa de loja de aplicativos. O malware solicita permissões de forma gradual, utilizando técnicas enganosas para obter acesso total ao dispositivo. Uma vez instalado, o RedWing pode criar telas de login falsas, ler mensagens de texto para capturar códigos de autenticação e redirecionar chamadas, além de permitir o controle remoto do dispositivo.

Falha no Kernel Linux permite controle total de máquinas por usuários comuns

Uma nova vulnerabilidade no kernel Linux, identificada como Bad Epoll (CVE-2026-46242), foi revelada, permitindo que usuários comuns adquiram controle total de máquinas como root. Essa falha afeta não apenas desktops e servidores Linux, mas também dispositivos Android. O problema reside em um bug de ‘use-after-free’, onde duas partes do kernel tentam limpar o mesmo objeto interno simultaneamente, resultando em corrupção da memória do kernel. O pesquisador Jaeyoung Chung desenvolveu um ataque que amplia a janela de tempo para explorar essa vulnerabilidade, alcançando sucesso em 99% dos testes realizados. O ataque pode ser disparado a partir do sandbox do Chrome, o que o torna ainda mais perigoso, pois contorna muitas outras falhas de kernel. Embora a falha tenha sido reportada como um zero-day ao programa kernelCTF do Google, não há indícios de que tenha sido utilizada em ataques reais até o momento. A correção já está disponível, e é recomendável que os usuários apliquem o patch o mais rápido possível, especialmente em sistemas que utilizam o kernel 6.4 ou superior. Essa vulnerabilidade se junta a uma série de falhas conhecidas que afetam o Linux, destacando a necessidade de vigilância contínua em relação à segurança do kernel.

Corte da UE rejeita apelação final do Google sobre multa antitruste

O Tribunal de Justiça da União Europeia (TJUE) confirmou a decisão da Comissão Europeia que impôs uma multa de €4,1 bilhões (cerca de $4,7 bilhões) ao Google por práticas anticompetitivas relacionadas ao sistema operacional Android. A Comissão havia determinado que o Google abusou de sua posição dominante ao exigir que fabricantes de dispositivos pré-instalassem o Google Search e o Chrome para licenciar a Play Store, além de proibir a venda de dispositivos com versões do Android não aprovadas. Embora o Tribunal Geral tenha reduzido a multa original, o TJUE sustentou que as práticas do Google restringem a concorrência e fortalecem sua posição no mercado. Em resposta, o Google argumentou que o Android promove a escolha do consumidor e que suas práticas foram adaptadas desde 2018 para atender às exigências da Comissão. A empresa também destacou a concorrência com o iOS da Apple e a intensa competição entre fabricantes de dispositivos Android. Este caso levanta questões importantes sobre a regulação de grandes plataformas tecnológicas e suas implicações para o mercado global de tecnologia.

Google inicia verificação de desenvolvedores Android em quatro países

A partir de 30 de setembro de 2026, o Google começará a implementar a verificação de desenvolvedores Android em quatro países: Brasil, Indonésia, Cingapura e Tailândia. Essa medida visa bloquear a instalação de aplicativos de desenvolvedores não registrados em dispositivos Android certificados, que representam mais de 95% dos aparelhos fora da China. O novo serviço, chamado Android Developer Verifier, será instalado em dispositivos com Android 8 ou superior e confirmará se um aplicativo está associado a um desenvolvedor verificado antes da instalação. Aplicativos não registrados ainda poderão ser instalados, mas por meio de métodos mais complexos, como o Android Debug Bridge (ADB), que exigem que o usuário ative o modo desenvolvedor e passe por um processo de autenticação. O Google justifica essa mudança como uma forma de combater o malware, que é mais prevalente em fontes não verificadas. No entanto, a comunidade de código aberto, representada por organizações como o F-Droid, expressou preocupações de que essa exigência pode inviabilizar projetos que dependem de contribuições anônimas. A implementação global está prevista para 2027, mas questões sobre o processo de apelação para desenvolvedores e a manutenção do registro de identidade permanecem sem resposta.

Novo trojan bancário Android Rokarolla ataca 217 aplicativos

Um novo trojan bancário para Android, denominado Rokarolla, está atacando 217 aplicativos de bancos e criptomoedas, utilizando um conjunto extenso de 137 comandos. O malware é distribuído por meio de sites maliciosos que se passam por provedores do Google Chrome ou TikTok, permitindo que os invasores assumam o controle administrativo total de dispositivos comprometidos. Entre suas capacidades, estão o roubo de credenciais de tela de bloqueio, listas de contatos e dados de SMS, além de registrar continuamente as entradas do usuário através de keyloggers.

Novo trojan bancário para Android ameaça 217 aplicativos financeiros

Pesquisadores de segurança da Zimperium documentaram um novo trojan bancário para Android, chamado Rokarolla, que ataca 217 aplicativos de bancos e criptomoedas. O malware, que possui 137 comandos remotos, permite que um operador tenha controle quase total do dispositivo infectado. Entre suas funcionalidades, estão a captura de PINs de bloqueio, leitura e envio de SMS, redirecionamento de pagamentos em criptomoedas e desativação do Google Play Protect. O Rokarolla se espalha por sites maliciosos que se disfarçam de aplicativos conhecidos, como TikTok e Chrome. Ao ser instalado, ele se apresenta como Google Play Protect para obter acesso de acessibilidade e, em seguida, desativa a proteção. O roubo de informações ocorre através de sobreposições, onde páginas de login falsas são exibidas sobre os aplicativos legítimos, capturando dados sensíveis dos usuários. Além disso, o malware pode ler mensagens SMS, interceptar códigos de autenticação e modificar a área de transferência para redirecionar pagamentos. A Zimperium alerta que não há um patch a ser aplicado, pois se trata de um malware, e recomenda que os usuários instalem aplicativos apenas da Google Play e mantenham o Play Protect ativado.

Samsung MAX VPN encerra atividades, usuários buscam alternativas

O Samsung MAX VPN, um aplicativo popular entre usuários de dispositivos Galaxy, encerrou suas atividades em 15 de junho de 2026, deixando mais de 50 milhões de usuários em busca de alternativas para proteger sua privacidade online. O aplicativo, que oferecia recursos de mascaramento de IP e compressão de dados, não será mais funcional, e os usuários que tentarem acessá-lo encontrarão uma mensagem de despedida. A Samsung ainda não anunciou um substituto nativo, o que aumenta a urgência para que os usuários encontrem uma solução de VPN confiável. A falta de proteção em redes Wi-Fi públicas pode expor informações sensíveis, como senhas e dados bancários, a hackers. O Google Play Store oferece diversas opções de VPNs de terceiros com protocolos de segurança robustos. É aconselhável que os usuários verifiquem as políticas de registro e as localizações dos servidores ao escolher um novo provedor de VPN, garantindo que seus dados de navegação permaneçam privados.

Novas variantes do malware NFCShare atacam aplicativos bancários

Novas variantes do malware NFCShare estão sendo distribuídas como falsas atualizações de aplicativos bancários legítimos, hospedadas no GitHub. Este malware evoluiu e agora visa clientes de diversos bancos e instituições financeiras na Europa, em uma campanha de phishing destinada a roubar dados de cartões de pagamento. Após enganar as vítimas com uma tela de verificação falsa, o NFCShare utiliza o chip de comunicação por proximidade (NFC) do dispositivo móvel para ler informações do cartão, como número, tipo, data de validade e um PIN de 4 dígitos inserido pela vítima. Esses dados são enviados para o servidor de comando e controle do atacante via canal WebSocket. Desde sua criação, o repositório do GitHub que distribui o NFCShare já hospedou 56 APKs únicos que imitam aplicativos de bancos, principalmente da Itália e da Espanha. Os pesquisadores alertam que usuários de Android devem baixar aplicativos bancários apenas do Google Play e ter cautela com solicitações de verificação que pedem a digitalização de cartões NFC.

Novo spyware para Android visa usuários de língua árabe

Um novo spyware para Android, codinome Asin, tem como alvo usuários de língua árabe, conforme revelado pela empresa de cibersegurança ESET. O malware foi detectado pela primeira vez em campanhas de ataque no início de 2025, utilizando sites fraudulentos que imitam serviços úteis e fontes de notícias governamentais. Entre os sites identificados estão govlens[.]net, que finge ser uma fonte de notícias do governo, e live-war-map[.]com, que promete atualizações sobre incidentes militares. Esses sites distribuem aplicativos maliciosos que combinam funcionalidades legítimas com capacidades de spyware. A ESET observou que as campanhas parecem ter como alvo jornalistas e pesquisadores de OSINT (inteligência de fontes abertas) na região árabe, com três dos cinco aplicativos fraudulentos identificados sendo direcionados a esse público. Os usuários precisam instalar manualmente os aplicativos e conceder permissões para que o spyware funcione. Embora a origem das campanhas ainda não tenha sido atribuída, a natureza dos alvos sugere um foco em indivíduos envolvidos em investigações abertas. A situação é preocupante, pois o spyware pode comprometer a segurança e a privacidade de informações sensíveis.

Vulnerabilidade em aplicativos Android do Microsoft 365 expõe tokens de conta

Uma falha de segurança descoberta em vários aplicativos Android do Microsoft 365, chamada de FlagLeft, permitiu que aplicativos não confiáveis no mesmo dispositivo solicitassem tokens de conta de usuários autenticados. Isso significa que um aplicativo malicioso poderia acessar e-mails, arquivos, calendários e enviar mensagens em nome do usuário sem necessidade de senha ou autorização. A falha foi identificada por pesquisadores da Enclave e afetou aplicativos amplamente utilizados, como Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop e OneNote. A vulnerabilidade foi corrigida pela Microsoft, que lançou atualizações para os aplicativos, mas os tokens comprometidos podem permanecer válidos mesmo após a atualização. Portanto, é recomendável que os usuários revoguem os tokens de atualização e façam um novo login. A Microsoft emitiu quatro CVEs relacionados a essa falha, com classificações de severidade variando de 4.4 a 7.7, indicando um risco significativo para os usuários que não atualizarem seus aplicativos. A atualização é essencial para mitigar o risco de exploração dessa vulnerabilidade.

CISA alerta sobre vulnerabilidades críticas no Linux e Android

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades no kernel do Linux e no sistema operacional Android. A mais recente falha, identificada como CVE-2025-48595, é uma vulnerabilidade de estouro de inteiro de alta severidade no Android Framework, que pode ser utilizada para obter privilégios elevados. Essa falha afeta as versões do Android 14 a 16 e não requer interação do usuário para ser explorada. Embora o Google tenha indicado que a exploração dessa vulnerabilidade pode estar ocorrendo de forma limitada, não foram fornecidos detalhes específicos sobre as atividades ou informações técnicas sobre a falha. O problema foi corrigido com a liberação de patches de segurança em junho de 2026.

Google lança recurso de segurança para detectar chamadas falsas no Android

O Google está implementando uma nova funcionalidade de segurança no Android chamada ‘detecção de chamadas falsas’, que visa identificar e sinalizar chamadas em que golpistas utilizam inteligência artificial para se passar por contatos pessoais do usuário. A funcionalidade, que será ativada por padrão, está sendo lançada globalmente para dispositivos com Android 12 e versões posteriores, começando pelos dispositivos Pixel.

Quando um contato faz uma chamada, o dispositivo envia um sinal de confirmação silencioso e criptografado em tempo real para o dispositivo do destinatário. Se esse sinal não for enviado, indicando que a chamada pode ser falsificada, o dispositivo do destinatário verifica com o telefone real do contato. Se a confirmação indicar que o contato não está fazendo uma chamada, o destinatário recebe um alerta na tela para desligar imediatamente.

Google corrige 124 vulnerabilidades críticas no Android em junho de 2026

No início de junho de 2026, o Google lançou patches para 124 vulnerabilidades de segurança no sistema operacional Android, destacando uma falha de alta severidade, identificada como CVE-2025-48595, com um escore CVSS de 8.4. Essa vulnerabilidade, que permite a escalada de privilégios sem interação do usuário, afeta dispositivos que executam as versões 14, 15, 16 e 16 QPR2 do Android. Segundo a descrição da falha, um estouro de inteiro em múltiplos locais pode possibilitar a execução de código, resultando em uma escalada local de privilégios. O Google indicou que há sinais de exploração ativa, embora não tenha fornecido detalhes sobre os responsáveis ou os alvos. Além disso, outras vulnerabilidades foram corrigidas no componente do sistema, algumas das quais também podem levar a escaladas de privilégios. O Google disponibilizou dois conjuntos de patches, com o segundo incluindo correções para componentes de kernel e chipsets de terceiros, como MediaTek e Qualcomm. A situação exige atenção, especialmente considerando que falhas semelhantes têm sido utilizadas por fornecedores de spyware comercial para atacar indivíduos de alto perfil.

Google lança patches de segurança Android para 124 vulnerabilidades

O Google divulgou em junho de 2026 atualizações de segurança para o Android, abordando 124 vulnerabilidades, incluindo uma falha zero-day (CVE-2025-48595) que está sendo explorada em ataques direcionados. Essa vulnerabilidade de alta severidade permite que atacantes locais executem código e elevem privilégios em dispositivos que rodam Android 14 ou versões posteriores. O Google alertou que a exploração dessa falha pode estar em andamento, embora detalhes técnicos ainda não tenham sido divulgados. Além disso, foram corrigidas 18 vulnerabilidades críticas em componentes do sistema e do framework, que poderiam ser utilizadas para causar negação de serviço e elevação de privilégios. As atualizações de segurança foram lançadas em dois pacotes, com dispositivos Google Pixel recebendo as correções imediatamente, enquanto outros fabricantes podem demorar mais para implementá-las. O Google também revisou seus programas de recompensas por vulnerabilidades, oferecendo até US$ 1,5 milhão por exploits do Android, enquanto reduziu os pagamentos para falhas mais fáceis de serem descobertas com inteligência artificial. A empresa não forneceu mais informações sobre os ataques relacionados à CVE-2025-48595.

Trojan de acesso remoto BTMOB ameaça usuários Android no Brasil

O BTMOB é um trojan de acesso remoto para Android que está sendo oferecido a cibercriminosos com uma interface de construção para gerar cargas de malware personalizadas, especialmente voltadas para iscas de phishing. Este malware possui uma ampla gama de funcionalidades, incluindo roubo de dados específicos, interceptação de transações financeiras, captura de telas e controle remoto do dispositivo. Segundo a empresa de cibersegurança ESET, o BTMOB é promovido abertamente na internet e opera como uma plataforma de malware como serviço (MaaS). Os criminosos podem personalizar as permissões solicitadas pelo aplicativo durante a instalação e definir ações como desativar o Google Play e ocultar o ícone do aplicativo. O BTMOB é mais ativo no Brasil e na América Latina, e suas vendas ocorrem em canais privados do Telegram, com assinaturas mensais de US$ 700 ou uma licença vitalícia por US$ 5.000. O malware é distribuído por meio de sites de phishing que se disfarçam de serviços de streaming e plataformas de mineração de criptomoedas, redirecionando as vítimas para portais que imitam o Google Play. A ESET recomenda que os usuários do Android instalem apenas aplicativos da loja oficial e revoguem permissões arriscadas.

Campanhas de trojans bancários visam América Latina e Europa

Recentes investigações da WatchGuard e ESET revelaram que duas campanhas de malware, Grandoreiro e BTMOB, estão atacando dispositivos Windows e Android na América Latina e Europa. O Grandoreiro, ativo desde 2016, utiliza a técnica de DLL Side-Loading para infectar sistemas, visando bancos em Portugal e expandindo suas operações apesar de esforços de desmantelamento por autoridades brasileiras. O malware é distribuído principalmente por e-mails de phishing, que induzem os usuários a clicar em links maliciosos. A campanha também incorpora verificações de CAPTCHA para dificultar a análise. Por outro lado, o BTMOB, um trojan de acesso remoto para Android, permite que atacantes desbloqueiem dispositivos, capturem telas e roubem credenciais. Este malware é vendido como um serviço, permitindo que até mesmo usuários sem habilidades de programação criem novas campanhas rapidamente. Ambos os malwares representam um risco significativo, especialmente com a crescente sofisticação das técnicas de ataque, tornando a detecção mais difícil. As empresas devem estar atentas a essas ameaças e implementar medidas de segurança robustas para proteger suas informações financeiras.

Usuários de Android em alerta campanha de fraude atinge milhões globalmente

Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

Operação Trapdoor Fraude publicitária atinge usuários de Android

Pesquisadores de cibersegurança revelaram uma nova operação de fraude publicitária e malvertising chamada Trapdoor, que visa usuários de dispositivos Android. A operação, identificada pela equipe Satori Threat Intelligence da HUMAN, envolve 455 aplicativos maliciosos e 183 domínios de comando e controle (C2) controlados por criminosos. Os usuários baixam aplicativos que parecem ser utilitários, como visualizadores de PDF ou ferramentas de limpeza de dispositivos, sem saber que estão instalando um software malicioso. Esses aplicativos iniciam campanhas de malvertising, levando os usuários a baixar outros aplicativos maliciosos que carregam anúncios indesejados. A operação é autossustentável, transformando a instalação de um aplicativo em um ciclo de geração de receita ilícita. Em seu auge, a Trapdoor gerou 659 milhões de solicitações de lances por dia, com mais de 24 milhões de downloads de aplicativos associados. A campanha se destaca pelo uso de sites de cashout baseados em HTML5 e técnicas de ativação seletiva que evitam a detecção. Após a divulgação responsável, o Google removeu todos os aplicativos maliciosos identificados da Play Store, neutralizando a operação.

Google lança recurso de registro de intrusões para Android

O Google anunciou uma nova funcionalidade chamada Intrusion Logging, disponível no modo de proteção avançada do Android, que permite o registro forense de atividades em dispositivos para análise de ataques sofisticados de spyware. Desenvolvido em parceria com a Anistia Internacional e Repórteres Sem Fronteiras, o recurso registra atividades diárias do dispositivo, como comportamento de aplicativos, conexões de rede e transferências de arquivos. Os dados são criptografados de ponta a ponta e armazenados em servidores do Google, garantindo que nem mesmo a empresa tenha acesso a eles, exceto o proprietário do dispositivo. Os registros são mantidos por 12 meses e podem ser baixados offline, mas uma vez baixados, a segurança dos dados fica sob responsabilidade do usuário. A funcionalidade também registra eventos de navegação no Chrome em modo incógnito, o que pode levantar preocupações sobre privacidade. O objetivo é fornecer a indivíduos de alto risco, que possam ser alvos de ferramentas de vigilância, a capacidade de compartilhar logs de atividade com especialistas em segurança para investigação. Além disso, o Google anunciou melhorias em segurança e privacidade no Android, incluindo proteção contra fraudes em chamadas financeiras e detecção de ameaças em tempo real.

Nova variante do trojan TrickMo usa blockchain para controle remoto

Pesquisadores de cibersegurança identificaram uma nova versão do trojan bancário TrickMo, que utiliza a blockchain TON para suas comunicações de comando e controle. Observada entre janeiro e fevereiro de 2026, essa variante tem como alvo usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria. O TrickMo, ativo desde 2019, é um malware que se aproveita dos serviços de acessibilidade do Android para sequestrar senhas de uso único (OTPs) e possui uma gama de funcionalidades, como phishing de credenciais, registro de teclas e interceptação de mensagens SMS. A nova versão, chamada TrickMo C, é distribuída por meio de aplicativos dropper que se disfarçam como versões de TikTok e Google Play Services. Uma mudança significativa na arquitetura do malware é a implementação de um proxy SOCKS5, que transforma dispositivos comprometidos em nós de saída de rede, permitindo que o tráfego malicioso seja roteado sem ser detectado. Além disso, o TrickMo inclui funcionalidades inativas que podem ser ativadas no futuro, indicando uma intenção de expandir suas capacidades. Essa evolução no malware representa um risco elevado, especialmente para instituições financeiras e usuários de criptomoedas, devido à sua capacidade de operar de forma furtiva e eficiente.

GrapheneOS corrige falha de VPN no Android que Google ignorou

O GrapheneOS, uma distribuição alternativa do Android focada em privacidade, lançou uma atualização para corrigir uma falha de segurança no Android 16, que permite que aplicativos comuns vazem dados fora de um túnel VPN ativo. Essa vulnerabilidade, conhecida como ‘Tiny UDP Cannon’, foi descoberta por um pesquisador de segurança e classificada pela equipe de segurança do Android do Google como ‘Não será corrigida’. O problema reside em uma funcionalidade do Android que não verifica se um aplicativo deve estar restrito a uma conexão VPN, permitindo que dados sejam enviados pela conexão padrão de internet. Embora a exploração exija que um aplicativo malicioso já esteja instalado no dispositivo, a falha representa um risco significativo para usuários que dependem de configurações de privacidade rigorosas, como o ‘Always-On VPN’. O GrapheneOS desativou a funcionalidade vulnerável, eliminando a superfície de ataque, mas isso pode resultar em uma leve perda de eficiência na rede. Para usuários do Android padrão, a solução temporária envolve desativar a função manualmente, mas isso não é permanente. A situação destaca a importância de manter aplicativos atualizados e de usar VPNs confiáveis, mesmo com a vulnerabilidade existente.

Malware para Android usa ícones em branco e telas falsas para roubar credenciais financeiras

Pesquisadores da Zimperium identificaram quatro campanhas de trojans bancários para Android, denominadas RecruitRat, SaferRat, Astrinox e Massiv, que visam mais de 800 aplicativos financeiros e de redes sociais. Esses malwares utilizam técnicas de engano e furtividade, como ocultar ícones de aplicativos e sobrepor telas falsas de login, para roubar credenciais financeiras dos usuários. Os atacantes direcionam as vítimas a sites falsos que imitam portais de emprego ou serviços de streaming, levando-as a instalar software malicioso. Uma vez instalado, o malware solicita permissões de acessibilidade, permitindo monitorar ações e capturar informações sem o conhecimento do usuário. Além disso, algumas variantes conseguem se esconder completamente, dificultando a remoção. Os ataques também incluem a transmissão ao vivo da tela do dispositivo para os servidores dos atacantes, permitindo a interceptação em tempo real das etapas de autenticação. A complexidade das técnicas de instalação e a evolução dos métodos de evasão tornam a detecção por ferramentas de segurança tradicionais cada vez mais difícil.

Nova botnet derivada do Mirai visa dispositivos Android expostos

Pesquisadores de cibersegurança revelaram a existência de uma nova botnet chamada xlabs_v1, derivada do Mirai, que se especializa em atacar dispositivos expostos à Internet que utilizam o Android Debug Bridge (ADB). A descoberta foi feita pela Hunt.io, que identificou um diretório exposto em um servidor na Holanda. A botnet é capaz de realizar ataques de negação de serviço distribuído (DDoS) e oferece 21 variantes de ataque, utilizando protocolos TCP, UDP e outros. O foco principal são dispositivos Android, como caixas de TV e roteadores, que têm o ADB habilitado por padrão. Além disso, a botnet é projetada para coletar informações sobre a largura de banda dos dispositivos comprometidos, permitindo que o operador classifique os dispositivos em diferentes faixas de preço para serviços de DDoS. A operação é considerada de médio porte, mais sofisticada que versões anteriores do Mirai, mas ainda assim acessível a criminosos. A situação é alarmante, especialmente para o setor de jogos, que já foi alvo de ataques semelhantes. A Hunt.io recomenda que operadores de servidores de jogos implementem medidas de mitigação adequadas para se proteger contra esses ataques.

Grupo hacker ScarCruft invade plataforma de jogos e infecta Android e Windows

O grupo hacker norte-coreano ScarCruft comprometeu a plataforma de jogos sqgame.net, utilizando um ataque de cadeia de suprimentos para disseminar o malware BirdCall, que transforma jogos em trojans. Inicialmente, o malware afetava apenas usuários do Windows, mas agora também impacta dispositivos Android, conforme relatado pela empresa de cibersegurança ESET. O foco principal dos ataques são coreanos residentes na China, especialmente desertores da Coreia do Norte, que utilizam a plataforma como um meio de comunicação e entretenimento. A campanha foi descoberta em outubro de 2025, mas os jogos infectados ainda estão disponíveis para download. O malware BirdCall permite que os hackers capturem telas, registrem teclas digitadas e acessem arquivos do dispositivo. Embora a versão para desktop não esteja infectada, os APKs disponíveis no site da plataforma estão comprometidos. A evolução do malware, que começou com o RokRAT, destaca a adaptação dos ataques para diferentes sistemas operacionais, incluindo macOS e Android. A situação é preocupante, pois qualquer jogador que tenha baixado os jogos pode estar em risco.

Google amplia Transparência Binária no Android para segurança de dados

O Google anunciou a expansão da Transparência Binária para o Android, uma iniciativa que visa proteger o ecossistema de ataques à cadeia de suprimentos. Essa nova abordagem, que se baseia na Transparência Binária do Pixel, introduz um registro público criptográfico que garante que os aplicativos do Google em dispositivos Android sejam exatamente o que a empresa pretende distribuir. A Transparência Binária é uma resposta a ataques que injetam código malicioso em canais de atualização de software, mantendo as assinaturas digitais intactas. Um exemplo recente é o comprometimento de instaladores do DAEMON Tools, que distribuíam um backdoor disfarçado. O Google enfatiza que confiar apenas na assinatura digital não é mais suficiente, pois ela não garante que o binário foi realmente o que o autor pretendia liberar. Com a nova medida, todos os aplicativos do Google lançados após 1º de maio de 2026 terão uma entrada criptográfica correspondente, permitindo que usuários e pesquisadores verifiquem a autenticidade do software. Essa iniciativa é um passo importante para aumentar a segurança e a privacidade dos usuários, especialmente em um cenário onde ataques à cadeia de suprimentos estão se tornando mais comuns.

Google reformula programas de recompensas por vulnerabilidades

O Google anunciou mudanças significativas em seus programas de recompensas por vulnerabilidades no Android e no Chrome, aumentando os prêmios para exploits mais complexos e reduzindo os valores para falhas que a inteligência artificial (IA) facilitou na identificação. O maior prêmio, de até US$ 1,5 milhão, é destinado a exploits completos de segurança do chip Pixel Titan M2 com persistência, enquanto exploits sem persistência podem receber até US$ 750 mil. Para o Chrome, os exploits de processos do navegador em sistemas operacionais e hardware atualizados agora têm recompensas de até US$ 250 mil, além de um bônus adicional de US$ 250.128 para a exploração bem-sucedida de alocações de memória protegidas pelo MiraclePtr. O Google enfatiza a importância de relatórios concisos que contenham apenas provas de bugs e artefatos essenciais, em vez de análises longas que podem ser geradas automaticamente por IA. Essa reestruturação segue um ano recorde em recompensas, com pagamentos totalizando US$ 17,1 milhões a 747 pesquisadores em 2025, um aumento de mais de 40% em relação a 2024. O total acumulado desde o início do programa em 2010 ultrapassa US$ 81,6 milhões, e o Google prevê que os pagamentos totais em 2026 continuarão a crescer, apesar da redução em alguns valores individuais.

Grupo de hackers da Coreia do Norte compromete plataforma de jogos

O grupo de hackers ScarCruft, alinhado ao governo da Coreia do Norte, realizou um ataque de espionagem na cadeia de suprimentos, comprometendo uma plataforma de jogos voltada para coreanos étnicos na China. O ataque envolveu a inserção de um backdoor chamado BirdCall, que agora afeta tanto usuários de Windows quanto de Android, ampliando seu alcance. A plataforma sqgame[.]net, utilizada por coreanos na região de Yanbian, foi especificamente visada, dada a sua importância como ponto de trânsito para desertores norte-coreanos. O malware BirdCall é uma evolução do RokRAT e possui funcionalidades avançadas, como captura de tela, registro de teclas e roubo de dados pessoais. A distribuição do malware foi feita através de APKs maliciosos disponíveis para download na plataforma, enquanto o cliente para Windows e jogos iOS permaneceram intactos. A análise sugere que o ataque está em andamento desde o final de 2024 e que o backdoor foi desenvolvido para se comunicar com serviços de nuvem legítimos, como Dropbox e pCloud. Este incidente destaca a crescente ameaça de espionagem cibernética direcionada a grupos específicos, como desertores e ativistas de direitos humanos.

Novo malware NGate ataca usuários brasileiros através do HandyPay

Pesquisadores de cibersegurança descobriram uma nova versão do malware NGate, que agora abusa de um aplicativo legítimo chamado HandyPay. O malware, que permite a transferência de dados NFC de cartões de pagamento para dispositivos dos atacantes, foi identificado como uma ameaça crescente, especialmente no Brasil. O ataque ocorre quando os usuários são enganados a baixar uma versão comprometida do HandyPay, disfarçada como um aplicativo de proteção de cartão ou um site de loteria. Após a instalação, o aplicativo solicita que o usuário defina o HandyPay como o aplicativo de pagamento padrão e insira o PIN do cartão, permitindo que o malware capture e retransmita os dados do cartão para os criminosos. Essa campanha, que começou em novembro de 2025, destaca a crescente utilização de inteligência artificial por cibercriminosos para desenvolver malware, mesmo sem experiência técnica avançada. A ESET, empresa de segurança que identificou a ameaça, alerta que a fraude NFC está em ascensão, e a escolha do HandyPay pelos atacantes pode estar relacionada ao seu custo mais baixo e à ausência de permissões suspeitas.

Nova variante do malware NGate rouba dados de pagamentos NFC no Android

Uma nova variante do malware NGate, que rouba dados de pagamentos NFC, está atacando usuários de Android ao se esconder em uma versão trojanizada do aplicativo HandyPay, uma ferramenta legítima de processamento de pagamentos móveis. Originalmente documentado em meados de 2024, o NGate utiliza o chip de comunicação de campo próximo (NFC) dos dispositivos móveis para capturar informações de cartões de pagamento, que são enviadas ao atacante para criar cartões virtuais usados em compras não autorizadas ou saques em caixas eletrônicos. A nova variante, descoberta pela ESET, foi injetada com código malicioso e contém emojis, sugerindo o uso de ferramentas de IA generativa em seu desenvolvimento. O HandyPay, disponível no Google Play desde 2021, permite transmissões de dados baseadas em NFC, que o NGate explora para exfiltrar informações de cartões. A campanha, ativa desde novembro de 2025, utiliza dois métodos de distribuição: um aplicativo falso chamado “Proteção Cartão” e um site de loteria falso que redireciona os usuários para o WhatsApp, onde são levados a baixar o APK malicioso. Após a instalação, o aplicativo solicita que o usuário o defina como o aplicativo de pagamento NFC padrão e pede o PIN do cartão, além de instruções para ler o cartão no telefone. As informações coletadas são enviadas para um e-mail do atacante codificado no aplicativo.

Hackers são contratados para roubar dados do iCloud e instalar malware

Três empresas de segurança digital identificaram um esquema criminoso que visa usuários de dispositivos Apple e Android, envolvendo o roubo de dados do iCloud e a instalação de spyware. Os hackers, contratados por uma empresa de vigilância indiana, criam páginas falsas de login para capturar credenciais do ID Apple, permitindo acesso a informações pessoais armazenadas na nuvem, como fotos e mensagens. Até agora, foram detectados cerca de 1.500 endereços falsos que imitam serviços da Apple. Para usuários de Android, o spyware chamado ProSpy é disseminado por meio de aplicativos populares como WhatsApp e Zoom, permitindo que os criminosos monitorem mensagens e acessem microfone e câmera. A situação é alarmante, pois os ataques estão direcionados a jornalistas, ativistas e autoridades em várias regiões, incluindo o Oriente Médio e os Estados Unidos, levantando preocupações sobre privacidade e segurança de dados.

Novo trojan de acesso remoto Mirax ataca países de língua espanhola

O trojan de acesso remoto (RAT) Mirax, direcionado a dispositivos Android, tem sido identificado em campanhas que visam países de língua espanhola, alcançando mais de 220 mil contas em plataformas como Facebook e Instagram. Segundo a empresa de prevenção a fraudes online Cleafy, o Mirax permite que atacantes interajam em tempo real com dispositivos comprometidos, além de transformar esses dispositivos em nós de proxy residenciais, utilizando o protocolo SOCKS5. Essa funcionalidade permite que os criminosos contornem restrições geográficas e aumentem sua anonimidade durante atividades fraudulentas.

Vulnerabilidade em SDK do Android expõe carteiras de criptomoedas

Uma vulnerabilidade crítica foi descoberta e já corrigida no EngageLab SDK, um kit de desenvolvimento de software amplamente utilizado em aplicativos Android, que poderia ter colocado em risco milhões de usuários de carteiras de criptomoedas. Segundo a equipe de pesquisa de segurança da Microsoft Defender, essa falha permitia que aplicativos no mesmo dispositivo contornassem a sandbox de segurança do Android, obtendo acesso não autorizado a dados privados. O EngageLab SDK, que oferece um serviço de notificações push, foi integrado em muitos aplicativos do ecossistema de criptomoedas, totalizando mais de 30 milhões de instalações. A vulnerabilidade, identificada na versão 4.5.4 do SDK, é classificada como uma vulnerabilidade de redirecionamento de intent, onde um aplicativo malicioso poderia manipular intents para acessar dados sensíveis de outros aplicativos. Embora não haja evidências de exploração maliciosa, a Microsoft recomenda que os desenvolvedores atualizem para a versão mais recente do SDK para evitar riscos futuros. Este caso destaca como falhas em SDKs de terceiros podem ter implicações de segurança em larga escala, especialmente em setores de alto valor como o gerenciamento de ativos digitais.

Novo malware no Android já foi baixado mais de 2,3 milhões de vezes

Um novo malware denominado ‘NoVoice’ está causando sérios problemas em dispositivos Android, tendo sido baixado mais de 2,3 milhões de vezes na Play Store. O malware se esconde em mais de 50 aplicativos falsos, que incluem plataformas de limpeza de sistemas e jogos, levando os usuários a instalá-los sem perceber a ameaça. Especialistas da McAfee descobriram que o NoVoice explora vulnerabilidades do sistema Android para coletar informações sensíveis, como logins, senhas e dados de cartões de crédito. Além disso, o malware tem a capacidade de instalar ou desinstalar aplicativos sem o conhecimento do usuário. Um dos aplicativos identificados na operação criminosa é o SwiftClean, que promete otimizar o desempenho do dispositivo. Embora o Google tenha garantido que dispositivos atualizados desde maio de 2021 estão protegidos, é essencial que os usuários mantenham atenção redobrada ao instalar novos aplicativos, uma vez que os criminosos conseguem burlar os sistemas de segurança da Play Store.

Malware SparkCat volta a atacar usuários de Android e iOS

O malware SparkCat, um infostealer focado em criptomoedas, está de volta com novas atualizações que dificultam sua detecção. Pesquisadores da Kaspersky identificaram aplicativos maliciosos disfarçados em plataformas populares como a Apple App Store e o Google Play Store. O SparkCat, que foi detectado pela primeira vez em 2025, tem como alvo as frases mnemônicas usadas para acessar carteiras de criptomoedas. Recentemente, o malware aprimorou suas técnicas, utilizando reconhecimento óptico de caracteres (OCR) para extrair essas informações de fotos e capturas de tela. Embora inicialmente focado em usuários asiáticos, a nova versão também busca alvos ocidentais, incluindo palavras-chave em inglês. As técnicas de ofuscação foram aprimoradas, tornando a detecção ainda mais desafiadora. A Kaspersky informou que algumas das aplicações maliciosas já foram removidas das lojas, mas o risco persiste, especialmente para usuários que não mantêm vigilância sobre os aplicativos que instalam.

Nova versão do malware SparkCat encontrada em lojas de aplicativos

Pesquisadores de cibersegurança descobriram uma nova versão do malware SparkCat nas lojas de aplicativos da Apple e Google, mais de um ano após sua primeira detecção. Este trojan se disfarça em aplicativos aparentemente inofensivos, como mensageiros corporativos e serviços de entrega de alimentos, enquanto escaneia silenciosamente as galerias de fotos das vítimas em busca de frases de recuperação de carteiras de criptomoedas. A empresa russa Kaspersky identificou dois aplicativos infectados na App Store e um no Google Play, com foco em usuários de criptomoedas na Ásia. A variante para iOS se destaca por buscar frases mnemônicas em inglês, o que amplia seu alcance potencial. A versão para Android, por sua vez, apresenta várias camadas de ofuscação e busca palavras-chave em japonês, coreano e chinês. O SparkCat utiliza um modelo de reconhecimento óptico de caracteres (OCR) para extrair imagens que contêm frases de recuperação de carteiras e enviá-las a servidores controlados por atacantes. As melhorias recentes indicam que o malware está em evolução contínua, reforçando a necessidade de soluções de segurança para dispositivos móveis.

Malware NoVoice no Android Rootkit persistente afeta 2,3 milhões de dispositivos

Um novo malware chamado NoVoice foi descoberto em mais de 50 aplicativos disponíveis na Google Play Store, afetando aproximadamente 2,3 milhões de dispositivos Android. Este malware é particularmente perigoso, pois se instala como um rootkit altamente persistente, o que significa que uma simples redefinição de fábrica não é suficiente para removê-lo. Os pesquisadores da McAfee identificaram que o NoVoice explora vulnerabilidades antigas no kernel do Android e em drivers de GPU, visando dispositivos que não recebem atualizações regulares.

Novo malware Android NoVoice encontrado no Google Play

Um novo malware para Android, chamado NoVoice, foi descoberto na Google Play, oculto em mais de 50 aplicativos que foram baixados mais de 2,3 milhões de vezes. Os aplicativos infectados incluíam ferramentas de limpeza, galerias de imagens e jogos, e não exigiam permissões suspeitas. Após o lançamento de um aplicativo infectado, o malware tentava obter acesso root ao dispositivo explorando vulnerabilidades antigas do Android que foram corrigidas entre 2016 e 2021. Pesquisadores da McAfee identificaram a operação NoVoice, que compartilha semelhanças com o trojan Android Triada. O malware oculta componentes maliciosos em pacotes legítimos do Facebook e utiliza esteganografia para extrair um payload criptografado. Ele evita infectar dispositivos em regiões específicas, como Beijing e Shenzhen, e realiza verificações para detectar emuladores e VPNs. Após a infecção, o malware coleta informações do dispositivo e se conecta a um servidor de comando e controle (C2) para baixar componentes adicionais. O NoVoice é capaz de roubar dados do WhatsApp, permitindo que atacantes clonar sessões de usuários. Embora os aplicativos maliciosos tenham sido removidos da Google Play, usuários que os instalaram devem considerar seus dispositivos comprometidos. Atualizar para dispositivos com patches de segurança mais recentes é recomendado para mitigar essa ameaça.

Google implementa verificação de desenvolvedores Android para segurança

O Google anunciou a implementação da verificação de desenvolvedores Android, visando combater a distribuição de aplicativos prejudiciais por agentes mal-intencionados que operam de forma anônima. A partir de setembro, essa verificação será obrigatória para desenvolvedores que distribuem aplicativos fora da Google Play em países como Brasil, Indonésia, Cingapura e Tailândia, com expansão global prevista para o próximo ano. Os desenvolvedores deverão criar uma conta no Android Developer Console para confirmar sua identidade. Para a maioria dos usuários, a instalação de aplicativos permanecerá inalterada, mas aqueles que tentarem instalar aplicativos não registrados precisarão passar por um fluxo avançado de autenticação. O Google também introduzirá um processo manual para registro de aplicativos que não puderem ser automaticamente verificados. Essa mudança busca aumentar a segurança da comunidade Android, ao mesmo tempo em que mantém a flexibilidade para usuários avançados. Além disso, a Apple atualizou seu Acordo de Licença do Programa de Desenvolvedores para reforçar regras de privacidade sobre o acesso de dispositivos de terceiros a atividades e notificações ao vivo, proibindo o uso de informações de encaminhamento para publicidade e monitoramento de localização.

Atualizações de Cibersegurança Ameaças e Inovações Emergentes

Nesta semana, o boletim de segurança destaca uma série de ameaças cibernéticas e inovações tecnológicas. A Google anunciou um cronograma acelerado para a migração para a criptografia pós-quântica (PQC), visando proteger dados contra futuros ataques de computadores quânticos. A atualização inclui a integração do algoritmo de assinatura digital ML-DSA no Android 17, aumentando a segurança durante o processo de inicialização. Além disso, o GitHub introduziu detecções de segurança impulsionadas por IA para identificar vulnerabilidades em códigos, melhorando a cobertura de segurança em diversas linguagens e frameworks.

Hackers podem roubar PINs e dados de carteiras de criptomoedas em Android

Um novo estudo da equipe Donjon da Ledger revelou uma vulnerabilidade crítica em smartphones Android que utilizam processadores MediaTek. Essa falha permite que hackers acessem dados sensíveis, como PINs e frases-semente de carteiras de criptomoedas, mesmo quando os dispositivos estão desligados. O ataque é realizado através de uma conexão USB, onde os invasores podem extrair chaves criptográficas antes que o sistema operacional seja carregado. Essa vulnerabilidade afeta cerca de um quarto dos smartphones Android no mundo, destacando a fragilidade da segurança em dispositivos móveis. O CTO da Ledger, Charles Guillemet, enfatizou que smartphones não foram projetados para serem cofres e que a atualização de segurança é crucial para mitigar esses riscos. A vulnerabilidade foi divulgada sob o processo padrão de 90 dias, e a MediaTek já começou a implementar patches para os fabricantes de dispositivos. Usuários são aconselhados a instalar atualizações de segurança imediatamente para proteger seus dados.

Google introduz mecanismo de segurança para instalação de APKs no Android

O Google anunciou uma nova funcionalidade chamada Advanced Flow, que permitirá a instalação de APKs de desenvolvedores não verificados de forma mais segura no Android. Programada para ser lançada em agosto, essa nova abordagem visa minimizar os riscos de infecções por malware e fraudes, que causaram perdas estimadas em US$ 442 bilhões no último ano, segundo a Global Anti-Scam Alliance (GASA). Para instalar aplicativos de desenvolvedores não verificados, os usuários precisarão passar por um processo único que inclui ativar o Modo Desenvolvedor, confirmar que não estão sendo orientados por agentes maliciosos, reiniciar o dispositivo e reautenticar. Após um dia, eles devem confirmar a legitimidade das modificações. O sistema foi projetado para dificultar táticas de golpe que exploram a urgência, evitando que os usuários instalem software malicioso sob pressão. O Google também está implementando um sistema de verificação de identidade para todos os desenvolvedores de aplicativos Android, que entrará em vigor em agosto de 2026. Essa medida é uma resposta à crescente sofisticação do malware e à necessidade de proteger os usuários em um ambiente digital cada vez mais arriscado.

Google implementa nova abordagem para instalação de apps no Android

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

Novo golpe no Android busca seus segredos onde você menos imagina

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

Nova família de malware Android chamada Perseus é descoberta

Pesquisadores de cibersegurança revelaram uma nova família de malware Android, chamada Perseus, que está sendo ativamente distribuída com o objetivo de realizar a tomada de controle de dispositivos (DTO) e fraudes financeiras. Baseado nas fundações de Cerberus e Phoenix, o Perseus se apresenta como uma plataforma mais flexível e capaz de comprometer dispositivos Android por meio de aplicativos dropper distribuídos em sites de phishing. O malware utiliza sessões remotas baseadas em acessibilidade, permitindo monitoramento em tempo real e interação precisa com dispositivos infectados, com foco em regiões como Turquia e Itália.

Novo malware Android Perseus rouba informações sensíveis de notas

Um novo malware para Android, chamado Perseus, está se espalhando por lojas não oficiais disfarçado como aplicativos de IPTV. Ele tem como alvo informações sensíveis armazenadas em notas pessoais, como senhas e dados financeiros. O malware permite o controle total do dispositivo, captura de telas e ataques de sobreposição. A ameaça se aproveita da familiaridade dos usuários com a instalação de APKs fora da Google Play Store, especialmente em busca de transmissões esportivas gratuitas. Pesquisadores da ThreatFabric identificaram que o Perseus foca principalmente em instituições financeiras na Turquia e na Itália, além de serviços de criptomoedas. O malware utiliza serviços de acessibilidade do Android para abrir e escanear aplicativos de notas, como Google Keep e Evernote, em busca de dados valiosos. O Perseus também realiza verificações extensivas para evitar detecção antes de executar suas atividades maliciosas. Para se proteger, os usuários devem evitar a instalação de aplicativos de fontes duvidosas e garantir que o Play Protect esteja ativo.

Google confirma invasão de Android por brecha da Qualcomm

A Google confirmou a exploração da vulnerabilidade de segurança CVE-2026-21385, que afeta dispositivos Android devido a uma falha em um componente da Qualcomm. Essa vulnerabilidade, classificada como de alta severidade, permite que hackers acessem dados sensíveis da memória dos aparelhos. A Qualcomm foi notificada sobre o problema em dezembro de 2025 e, embora tenha alertado os consumidores em fevereiro de 2026, a Google não forneceu detalhes técnicos sobre como a falha foi explorada. A vulnerabilidade se refere a uma leitura excessiva (over-read) no componente gráfico, que pode levar à corrupção de memória e, consequentemente, comprometer a segurança dos usuários. Apesar de a Google ter mencionado que a exploração foi limitada e direcionada, a falta de informações detalhadas gera preocupações sobre a segurança dos dispositivos Android. A última atualização do Android, lançada em março de 2026, abordou 120 vulnerabilidades, mas não incluiu um patch específico para a falha da Qualcomm, deixando os usuários em uma situação de incerteza até que novas atualizações sejam disponibilizadas.

Google corrige 129 vulnerabilidades de segurança no Android

O Google lançou atualizações de segurança para corrigir 129 vulnerabilidades no Android, incluindo uma falha zero-day criticamente explorada em um componente de display da Qualcomm, identificada como CVE-2026-21385. Essa vulnerabilidade, que pode estar sob exploração limitada e direcionada, é um estouro de inteiro que pode levar à corrupção de memória, afetando 235 chipsets da Qualcomm. Além disso, o Google corrigiu 10 vulnerabilidades críticas que poderiam permitir a execução remota de código, elevação de privilégios ou negação de serviço. As atualizações foram divididas em dois pacotes: 2026-03-01 e 2026-03-05, com o segundo incluindo todos os patches do primeiro e correções para subcomponentes de terceiros. Enquanto dispositivos Google Pixel recebem atualizações imediatamente, outros fabricantes podem demorar mais para implementá-las. A Qualcomm foi notificada sobre a vulnerabilidade em dezembro e alertou seus clientes em fevereiro. O artigo destaca a importância de que as empresas que utilizam dispositivos Android estejam cientes dessas vulnerabilidades e realizem as atualizações necessárias para mitigar riscos.

Falha crítica de segurança em componente Qualcomm afeta dispositivos Android

O Google revelou uma vulnerabilidade de alta severidade, identificada como CVE-2026-21385, que afeta um componente de código aberto da Qualcomm utilizado em dispositivos Android. Essa falha, classificada com um CVSS de 7.8, refere-se a um buffer over-read no componente gráfico, resultando em corrupção de memória ao adicionar dados fornecidos pelo usuário sem verificar o espaço disponível no buffer. A Qualcomm recebeu o relatório sobre essa vulnerabilidade em 18 de dezembro de 2025 e notificou seus clientes em 2 de fevereiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada, o Google indicou que há sinais de exploração direcionada e limitada. Além disso, a atualização de março de 2026 do Android inclui patches para 129 vulnerabilidades, incluindo uma falha crítica que pode permitir execução remota de código sem privilégios adicionais. A atualização oferece dois níveis de patch para que os parceiros do Android possam abordar rapidamente as vulnerabilidades comuns em diferentes dispositivos. Essa situação destaca a importância de manter os dispositivos atualizados para mitigar riscos de segurança.

Malware Oblivion sequestra dispositivos Android com facilidade

O malware Oblivion é um novo Trojan de Acesso Remoto (RAT) que afeta dispositivos Android, especialmente aqueles que operam entre as versões 8 e 16. Este software malicioso, que pode ser adquirido por assinatura a partir de US$ 300, permite que atacantes assumam o controle total dos dispositivos, interceptando mensagens SMS, notificações e códigos de autenticação de dois fatores sem que o usuário perceba. O Oblivion contorna as proteções do Android, utilizando a Accessibility Service de forma abusiva para automatizar a aprovação de permissões, o que facilita a instalação de aplicativos maliciosos fora das lojas oficiais. Uma vez ativo, o malware pode monitorar atividades em tempo real, lançar ou remover aplicativos remotamente e ocultar sua presença através de sobreposições enganosas. Os pesquisadores de segurança alertam que a instalação de aplicativos de fontes não confiáveis e a concessão desnecessária de permissões de acessibilidade aumentam o risco de infecção. Medidas de proteção incluem a realização de varreduras de segurança, uso de proteção de endpoint e auditoria regular das permissões de aplicativos.

Apps de saúde mental no Android expõem dados médicos dos usuários

Um estudo recente revelou que aplicativos de saúde mental disponíveis na Play Store do Android apresentam vulnerabilidades de segurança que podem comprometer informações sensíveis dos usuários. Com cerca de 14,7 milhões de downloads, esses aplicativos, que visam ajudar pessoas com condições como depressão e ansiedade, foram analisados pela empresa Oversecured. Os especialistas identificaram um total de 1.575 falhas de segurança, das quais 54 foram classificadas como de alta gravidade. Embora as vulnerabilidades não sejam críticas, elas podem permitir que cibercriminosos acessem credenciais de login, injetem código malicioso e até rastreiem a localização dos usuários. Além disso, alguns aplicativos falham em validar corretamente as URIs fornecidas, o que pode resultar no vazamento de informações médicas, como transcrições de sessões de terapia e horários de medicação. Apesar das alegações de criptografia por parte de algumas empresas, a realidade mostra que a segurança desses dados está em risco, levantando preocupações sobre a privacidade e a proteção das informações pessoais dos usuários.