Android

Recentemente, hackers utilizaram a plataforma Hugging Face para distribuir malware direcionado a dispositivos Android, disfarçado como um aplicativo antivírus chamado TrustBastion. Este aplicativo, ao ser instalado, informa ao usuário que seu dispositivo está infectado e solicita uma atualização, momento em que o código malicioso é efetivamente instalado. O TrustBastion conecta-se a um servidor de terceiros que redireciona para um repositório na Hugging Face, onde o APK malicioso é hospedado. O malware é capaz de capturar capturas de tela, exibir interfaces falsas de login para serviços de pagamento e roubar códigos de bloqueio, enviando todas as informações coletadas para servidores controlados pelos atacantes. Apesar da rápida identificação e remoção do aplicativo, novos repositórios surgiram, indicando a persistência da ameaça. Especialistas recomendam que os usuários baixem aplicativos apenas de fontes confiáveis, como a Google Play Store, e que verifiquem as avaliações e o número de downloads antes de instalar qualquer aplicativo.

Uma nova campanha de malware para Android está utilizando a plataforma Hugging Face como repositório para milhares de variações de um payload APK que coleta credenciais de serviços financeiros e de pagamento populares. A campanha, descoberta pela empresa romena de cibersegurança Bitdefender, começa com a instalação de um aplicativo dropper chamado TrustBastion, que engana os usuários com anúncios alarmantes, alegando que seus dispositivos estão infectados. O aplicativo malicioso se disfarça como uma ferramenta de segurança, prometendo detectar ameaças como fraudes e malware.

O Google anunciou melhorias significativas nas funcionalidades de proteção contra roubo em dispositivos Android, visando tornar os smartphones menos vulneráveis a furtos. As novas medidas, que se baseiam nas defesas anti-furto já existentes desde outubro de 2024, incluem controles mais detalhados para o recurso de Bloqueio por Falha de Autenticação, que agora permite que os usuários ativem ou desativem a função de bloqueio automático após várias tentativas de acesso malsucedidas. Além disso, a empresa expandiu o recurso de Verificação de Identidade, que exige autenticação biométrica para ações realizadas fora de locais confiáveis, abrangendo agora todos os aplicativos que utilizam o Android Biometric Prompt.

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

Um novo tipo de malware para dispositivos Android está utilizando inteligência artificial (IA) para contornar sistemas de segurança convencionais. De acordo com informações do Tech Radar, cibercriminosos estão empregando a plataforma de machine learning TensorFlow, desenvolvida pelo Google, para distribuir trojans através de anúncios maliciosos. A técnica envolve a criação de aplicativos falsos que são disseminados principalmente pela loja GetApps da Xiaomi, além de outros canais como redes sociais e Telegram.

Uma nova família de trojans de cliques para Android está utilizando modelos de aprendizado de máquina do TensorFlow para detectar e interagir automaticamente com elementos publicitários específicos. Ao contrário dos trojans tradicionais que dependem de rotinas de clique em JavaScript, essa nova abordagem realiza uma análise visual baseada em aprendizado de máquina. Os pesquisadores da Dr.Web identificaram que esses malwares estão sendo distribuídos através da loja oficial GetApps de dispositivos Xiaomi, operando em um modo chamado ‘fantasma’, que utiliza um navegador oculto para carregar páginas de anúncios e scripts JavaScript que automatizam ações sobre os anúncios exibidos. Além disso, um segundo modo, denominado ‘sinalização’, permite que os atacantes transmitam um feed de vídeo ao vivo da tela do navegador virtual, possibilitando ações em tempo real. Os trojans são frequentemente incorporados em jogos inicialmente benignos, recebendo funcionalidades maliciosas em atualizações subsequentes. Os pesquisadores alertam que a instalação de aplicativos fora do Google Play, especialmente versões modificadas de aplicativos populares, deve ser evitada, pois isso aumenta o risco de infecção. Embora a fraude de cliques não represente uma ameaça imediata à privacidade dos usuários, ela pode resultar em drenagem da bateria e custos adicionais de dados móveis.

Pesquisadores do laboratório Black Lotus, da Lumen Technologies, conseguiram desativar mais de 550 servidores de comando e controle (C2) das botnets Aisuru e Kimwolf, que operam desde outubro de 2025. A Aisuru, uma das maiores botnets em atividade, é conhecida por realizar ataques DDoS e hospedar tráfego malicioso através de proxies residenciais. A seção Kimwolf, voltada para dispositivos Android, infectou mais de 2 milhões de aparelhos, principalmente TV Boxes, utilizando um SDK malicioso chamado ByteConnect. A botnet não apenas realiza ataques, mas também cobra por serviços de realocação de banda larga e venda de DDoS. A Black Lotus identificou um aumento significativo no número de bots da Kimwolf, que chegou a 800.000 em outubro de 2025. As operações maliciosas se escondem em tráfego comum, dificultando a detecção. A desativação dos servidores é um passo importante, mas os cibercriminosos estão se adaptando rapidamente, mudando para novos IPs e métodos de operação.

A equipe Black Lotus Labs da Lumen Technologies revelou que desde outubro de 2025, mais de 550 nós de comando e controle (C2) associados à botnet AISURU/Kimwolf foram neutralizados. Essas botnets, que afetam principalmente dispositivos Android, têm a capacidade de realizar ataques de negação de serviço distribuído (DDoS) e redirecionar tráfego malicioso para serviços de proxy residencial. A análise do malware Kimwolf, que transforma dispositivos Android TV comprometidos em proxies residenciais, foi detalhada em um relatório da QiAnXin XLab. A botnet já infectou mais de 2 milhões de dispositivos, explorando vulnerabilidades em serviços de proxy. Além disso, houve um aumento significativo no número de bots, com 800 mil novos dispositivos adicionados em um curto período. A infraestrutura C2 da Kimwolf foi observada escaneando serviços em busca de dispositivos vulneráveis, utilizando falhas de segurança para propagar o malware. A situação é preocupante, pois esses dispositivos comprometidos operam sob a aparência de tráfego legítimo, dificultando a detecção por soluções de segurança. A relevância deste incidente é alta, especialmente para empresas que utilizam dispositivos Android em suas operações.

Um relatório da ESET revela que o ecossistema Android na América Latina, especialmente no Brasil e México, continua sendo um alvo preferencial para cibercriminosos. Em 2025, três famílias de malware se destacaram entre as mais detectadas: Trojan.Android/Exploit.CVE-2012-6636, Trojan.Android/Exploit.Lotoor e Trojan.Android/Pandora. A primeira, com mais de uma década, explora vulnerabilidades em aplicativos desatualizados, enquanto a segunda se aproveita de falhas em dispositivos com acesso root. A terceira, uma variante do malware Mirai, transforma dispositivos em botnets para ataques DDoS. A ESET alerta que a fragmentação do sistema Android e o uso prolongado de aparelhos sem atualização contribuem para a persistência dessas ameaças. Recomendações incluem manter o sistema e aplicativos atualizados e evitar downloads de fontes não confiáveis.

Recentemente, a cibersegurança enfrentou desafios significativos, destacando como pequenas falhas podem resultar em grandes consequências. Um exemplo alarmante é a vulnerabilidade crítica na plataforma de automação n8n, identificada como CVE-2026-21858, que permite execução remota de código sem autenticação, potencialmente comprometendo sistemas inteiros. Essa falha, que afeta versões anteriores à 1.121.0, é particularmente preocupante para organizações que utilizam n8n para automatizar fluxos de trabalho sensíveis.

Além disso, o botnet Kimwolf, uma variante do malware Aisuru, infectou mais de dois milhões de dispositivos Android, explorando vulnerabilidades em redes de proxy residenciais. O malware utiliza o Android Debug Bridge (ADB) exposto para executar comandos remotamente, aumentando o risco de comprometimento de dispositivos em redes internas.

A empresa de cibersegurança Synthient revelou a descoberta da botnet Kimwolf, que já comprometeu mais de 2 milhões de dispositivos Android, especialmente TV boxes, no Brasil e em outros países. A botnet, que se conecta a redes proxy residenciais, é uma evolução da botnet Aisuru, que anteriormente havia invadido 1,8 milhões de aparelhos. A Kimwolf utiliza técnicas avançadas de encriptação e comunicação, como DNS sobre TLS e EtherHiding, para evitar detecções e desmantelamentos. Os cibercriminosos monetizam as infecções por meio da venda de SDKs e revenda de banda larga, além de permitir o preenchimento de credenciais em massa. A maioria das infecções foi observada em países como Brasil, Índia, Arábia Saudita e Vietnã. A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas e que usuários verifiquem e destruam dispositivos infectados.

A botnet Kimwolf, que já infectou mais de 2 milhões de dispositivos Android, tem se destacado por sua capacidade de explorar redes de proxy residenciais para disseminar malware. De acordo com a Synthient, a botnet monetiza suas operações através da instalação de aplicativos, venda de largura de banda de proxy residencial e funcionalidade de DDoS. Desde sua primeira documentação pública em dezembro de 2025, Kimwolf tem sido associada a ataques DDoS recordes, principalmente em países como Vietnã, Brasil, Índia e Arábia Saudita. A maioria das infecções ocorre em dispositivos Android que têm o Android Debug Bridge (ADB) exposto, com 67% dos dispositivos conectados à botnet sendo não autenticados e com ADB habilitado por padrão. Além disso, a botnet utiliza endereços IP de proxies alugados, como os oferecidos pela empresa chinesa IPIDEA, para infiltrar-se em redes locais e instalar o malware. A Synthient alerta que a vulnerabilidade expõe milhões de dispositivos a ataques, e recomenda que provedores de proxy bloqueiem solicitações a endereços IP privados para mitigar os riscos.

Um novo golpe está afetando usuários de Android na Turquia, onde criminosos estão utilizando aplicativos relacionados ao sistema jurídico para disseminar um trojan chamado Frogblight, que tem como objetivo roubar dados bancários. O malware foi identificado pela primeira vez em agosto de 2025 e é propagado por meio de smishing, uma técnica de phishing que utiliza mensagens SMS fraudulentas. As vítimas recebem mensagens que alegam envolvimento em processos judiciais ou a possibilidade de receber auxílio financeiro, levando-as a clicar em links que baixam aplicativos maliciosos.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.

Um novo malware chamado Wonderland, que se disfarça como aplicativos legítimos, está sendo utilizado por grupos de ameaças para roubar mensagens SMS de usuários de Android no Uzbequistão. Anteriormente, os atacantes usavam APKs de trojans que atuavam como malware imediatamente após a instalação. Agora, eles estão utilizando aplicativos dropper, que parecem inofensivos, mas contêm um payload malicioso que é ativado localmente após a instalação, mesmo sem conexão com a internet. O Wonderland permite comunicação bidirecional com o servidor de comando e controle (C2), possibilitando o roubo de SMS e a execução de comandos em tempo real. Os atacantes, conhecidos como TrickyWonders, utilizam o Telegram para coordenar suas operações e distribuem o malware através de páginas falsas do Google Play, campanhas publicitárias e contas falsas em aplicativos de namoro. Uma vez instalado, o malware pode interceptar senhas de uso único (OTPs) e acessar informações bancárias dos usuários. A evolução do malware na região mostra um aumento na sofisticação das técnicas utilizadas, tornando a detecção e mitigação mais desafiadoras para os usuários e profissionais de segurança.

A startup suíça Soverli apresentou uma nova abordagem para a segurança em smartphones, que opera em conjunto com Android e iOS, oferecendo uma camada de sistema operacional audível para empresas. Essa inovação permite que múltiplos sistemas operacionais funcionem simultaneamente em um único dispositivo, garantindo que usuários em setores críticos, como serviços de emergência e segurança pública, mantenham suas atividades mesmo se o sistema operacional principal for comprometido. A arquitetura da Soverli possibilita a separação entre ambientes pessoais e profissionais, protegendo dados sensíveis sem sacrificar a funcionalidade do dispositivo. A tecnologia, desenvolvida ao longo de quatro anos na ETH Zurich, utiliza um sistema patenteado que reduz a superfície de ataque e implementa ferramentas de criptografia para proteger informações. A startup já demonstrou a operação de aplicativos de mensagens seguras, como o Signal, dentro dessa camada soberana, assegurando a confidencialidade das comunicações. Com um financiamento inicial de 2,6 milhões de dólares, a Soverli planeja expandir suas operações e parcerias, alinhando-se à crescente demanda por infraestrutura digital auditável na Europa.

Um novo malware, identificado como Cellik, está causando sérios problemas em dispositivos Android. Este trojan de acesso remoto (RAT) é capaz de clonar aplicativos legítimos da Play Store, permitindo que hackers obtenham controle total dos aparelhos das vítimas. O Cellik é comercializado em fóruns da dark web e oferece uma gama de ferramentas para comprometer sistemas, criando uma falsa sensação de legitimidade. Ao instalar o aplicativo comprometido, a vítima permite que o malware acesse a tela do dispositivo, registre teclas digitadas, intercepte notificações e navegue de forma oculta na internet. O Cellik também consegue acessar o sistema de arquivos do aparelho e utilizar cookies armazenados para roubar credenciais de login. O que torna esse malware particularmente perigoso é sua capacidade de se integrar à Play Store, burlando sistemas de segurança como o Google Play Protect, que não consegue detectar a presença do trojan. Essa situação levanta preocupações significativas sobre a segurança dos usuários e a eficácia das medidas de proteção atualmente disponíveis.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

No início de dezembro de 2025, a Google emitiu um alerta sobre vulnerabilidades críticas no sistema operacional Android, identificadas como CVE-2025-48633 e CVE-2025-48572. Essas falhas estão sendo ativamente exploradas, permitindo ataques de negação de serviço (DoS) sem a necessidade de privilégios de administrador. Embora a Google tenha rapidamente disponibilizado uma atualização de segurança para seus dispositivos Pixel, a Samsung, que detém cerca de 30% do mercado Android, confirmou que suas correções levarão até 30 dias para serem implementadas. A empresa também está trabalhando em correções para outras vulnerabilidades identificadas pelo Project Zero da Google. A CISA (Agência de Defesa Cibernética dos EUA) emitiu um alerta pedindo que funcionários federais atualizassem seus dispositivos ou parassem de usá-los. A Samsung deve lançar as atualizações em uma sequência que dependerá do modelo, região e operadora, o que pode deixar muitos usuários vulneráveis durante esse período. A situação destaca a importância de atualizações rápidas em dispositivos móveis, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.

Duas novas campanhas de malware estão ameaçando usuários brasileiros, com foco em um trojan bancário que ataca o WhatsApp e um malware que compromete pagamentos NFC em dispositivos Android. Pesquisadores da Trend Micro identificaram que o grupo Water Saci está por trás do trojan, que se espalha através de arquivos HTA e PDFs maliciosos. Os cibercriminosos utilizam contatos confiáveis para enganar as vítimas, aumentando a probabilidade de que elas baixem os arquivos infectados. Uma vez instalado, o trojan rouba informações sensíveis, como senhas e dados de cartões de crédito. Além disso, o malware RelayNFC, que afeta pagamentos NFC, permite que hackers realizem transações fraudulentas ao interceptar dados do cartão da vítima quando este é encostado no dispositivo. Essa nova era de ameaças digitais no Brasil destaca a vulnerabilidade dos usuários e a necessidade de medidas de segurança mais robustas, especialmente em plataformas amplamente utilizadas como o WhatsApp.

O SmartTube, um aplicativo de código aberto amplamente utilizado para acessar o YouTube em TVs Android, foi recentemente comprometido por cibercriminosos que conseguiram roubar a chave de assinatura do aplicativo. Isso resultou na distribuição de versões alteradas do app, que continham malware. O desenvolvedor, Yuliskov, já removeu as versões afetadas e lançou uma nova versão beta com uma chave de assinatura atualizada. O malware, localizado na biblioteca libalphasdk.so, coleta informações do dispositivo, como aplicativos instalados e endereço IP, mas, segundo especialistas, não houve vazamento de dados de contas. O Google Play Protect conseguiu bloquear a instalação do malware em muitos dispositivos antes que os usuários percebessem o problema. Para os usuários do SmartTube, é recomendado desinstalar as versões comprometidas e instalar apenas a versão 30.56, que é considerada segura. Essa versão pode ser encontrada no GitHub, já que o aplicativo não está mais disponível na Play Store. O uso de versões não oficiais ou aplicativos que prometem consertar o problema deve ser evitado, pois isso pode aumentar os riscos de segurança.

Um novo malware para Android, denominado Albiriox, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso opera como um modelo MaaS (Malware as a Service) e é projetado para realizar fraudes em tempo real, utilizando dados bancários das vítimas. O Albiriox foi identificado em fóruns de cibercrime de língua russa e possui recursos avançados que permitem manipular a tela do dispositivo de forma automatizada e imperceptível.

O malware já possui uma lista pré-programada com mais de 400 aplicativos visados, principalmente voltados para finanças, como bancos e carteiras de criptomoedas. Desde sua detecção em setembro, o Albiriox tem evoluído, utilizando táticas de phishing para infectar dispositivos, como o envio de mensagens SMS com links encurtados que redirecionam para aplicativos falsos. Uma vez instalado, o malware consegue controlar o dispositivo em tempo real, coletando informações sensíveis e burlando métodos tradicionais de autenticação.

No dia 2 de dezembro de 2025, o Google lançou atualizações mensais de segurança para o sistema operacional Android, abordando um total de 107 falhas de segurança, incluindo duas vulnerabilidades de alta gravidade que já foram exploradas ativamente. As falhas identificadas são: CVE-2025-48633, uma vulnerabilidade de divulgação de informações no Framework, e CVE-2025-48572, uma vulnerabilidade de elevação de privilégios também no Framework. O Google não forneceu detalhes sobre a natureza dos ataques ou se as vulnerabilidades foram utilizadas em conjunto. No entanto, a empresa indicou que há sinais de exploração limitada e direcionada. Além disso, uma vulnerabilidade crítica (CVE-2025-48631) que poderia resultar em negação de serviço remoto foi corrigida. As atualizações incluem dois níveis de patch, 2025-12-01 e 2025-12-05, permitindo que os fabricantes de dispositivos abordem rapidamente as vulnerabilidades comuns a todos os dispositivos Android. Os usuários são aconselhados a atualizar seus dispositivos assim que os patches estiverem disponíveis. Este lançamento ocorre três meses após a correção de duas falhas ativamente exploradas no Kernel do Linux e no Android Runtime.

Um novo malware para Android, chamado Albiriox, foi identificado como parte de um modelo de malware-as-a-service (MaaS), oferecendo uma gama completa de funcionalidades para facilitar fraudes em dispositivos. O malware contém uma lista codificada de mais de 400 aplicativos, incluindo bancos e plataformas de criptomoedas. Os pesquisadores da Cleafy relataram que o Albiriox é distribuído por meio de aplicativos dropper, utilizando técnicas de engenharia social para enganar os usuários. Uma vez instalado, o malware solicita permissões para instalar outros aplicativos, permitindo o controle remoto do dispositivo. O Albiriox utiliza uma conexão TCP não criptografada para comunicação com o comando e controle (C2), permitindo que os atacantes executem comandos remotamente e capturem informações sensíveis. Além disso, o malware é capaz de realizar ataques de sobreposição em aplicativos bancários, roubando credenciais sem que os usuários percebam. A ameaça é particularmente relevante para usuários na Áustria, onde campanhas específicas foram observadas. A disseminação de ferramentas de cibercrime como o Albiriox representa um risco crescente para a segurança dos dispositivos móveis, especialmente em um cenário onde a fraude em dispositivos está se tornando cada vez mais sofisticada.

Pesquisadores da Certo Software identificaram um novo spyware para Android chamado RadzaRat, que também atua como um trojan de acesso remoto (RAT), permitindo que hackers tenham controle total sobre os dispositivos infectados. Disfarçado como um gerenciador de arquivos, o aplicativo malicioso não é detectado por nenhum dos 66 antivírus testados, o que o torna extremamente perigoso. O RadzaRat é capaz de registrar tudo que o usuário digita (keylogging), possibilitando o roubo de informações sensíveis, como senhas e dados de cartão de crédito.

Pesquisadores da Universidade de Michigan e da CMU identificaram uma nova vulnerabilidade no sistema Android, especificamente em dispositivos da Google e Samsung, chamada Pixnapping. Essa falha permite que atacantes capturem informações exibidas na tela, incluindo códigos de autenticação de dois fatores (2FA), utilizando uma técnica de canal lateral que burla as proteções visuais do sistema. O ataque explora o SurfaceFlinger, um mecanismo de renderização de imagens, e foi testado em cinco modelos de aparelhos com versões do Android entre 13 e 16. Apesar de uma correção oficial (CVE-2025-48561) ter sido lançada, os especialistas conseguiram contornar o patch rapidamente. Para que o ataque ocorra, a vítima precisa instalar um aplicativo malicioso que utiliza a API de desfoque de janelas para espionar a atividade do usuário. A Google não planeja corrigir essa falha, que é considerada bloqueada por padrão, mas tanto a Google quanto a Samsung pretendem implementar medidas de mitigação até dezembro. Especialistas recomendam que os usuários mantenham seus dispositivos atualizados e evitem aplicativos de fontes não confiáveis.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Sturnus, que permite o roubo de credenciais e a tomada total do dispositivo para fraudes financeiras. Uma das características mais notáveis do Sturnus é sua capacidade de contornar mensagens criptografadas, capturando conteúdo diretamente da tela do dispositivo após a descriptografia. Isso permite que o malware monitore comunicações em aplicativos como WhatsApp, Telegram e Signal. Além disso, o Sturnus realiza ataques de sobreposição, exibindo telas de login falsas sobre aplicativos bancários para roubar credenciais dos usuários. O malware é direcionado a instituições financeiras na Europa Central e do Sul, utilizando sobreposições específicas para cada região. Após ser ativado, o Sturnus se conecta a um servidor remoto via WebSocket e HTTP, recebendo cargas úteis criptografadas. Ele também pode abusar dos serviços de acessibilidade do Android para capturar pressionamentos de tecla e registrar interações da interface do usuário. O Sturnus é projetado para evitar a detecção, bloqueando tentativas de desinstalação e monitorando continuamente a atividade do dispositivo. Embora sua disseminação ainda seja limitada, a combinação de geografia-alvo e foco em aplicativos de alto valor sugere que os atacantes estão refinando suas ferramentas para operações mais amplas no futuro.

O Google anunciou que a adoção da linguagem de programação Rust no Android resultou em uma queda significativa nas vulnerabilidades de segurança relacionadas à memória, que agora representam menos de 20% do total. Jeff Vander Stoep, do Google, destacou que a transição para Rust trouxe uma redução de 1000 vezes na densidade de vulnerabilidades de segurança de memória em comparação ao código em C e C++. Além disso, as mudanças em Rust têm uma taxa de reversão quatro vezes menor e demandam 25% menos tempo em revisão de código, tornando o desenvolvimento não apenas mais seguro, mas também mais ágil. Desde 2019, o número de vulnerabilidades de segurança de memória caiu de 223 para menos de 50 em 2024. O Google planeja expandir o uso de Rust em outras partes do ecossistema Android, como no kernel e em aplicativos críticos. Apesar dos avanços, a empresa enfatiza a importância de uma abordagem de defesa em profundidade, ressaltando que as características de segurança da linguagem são apenas uma parte de uma estratégia abrangente. Um exemplo de vulnerabilidade descoberta foi a CVE-2025-48530, que poderia ter permitido execução remota de código, mas foi corrigida antes de ser divulgada publicamente.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.

O malware Herodotus, um novo trojan bancário para Android, está circulando como uma oferta de Malware-as-a-Service (MaaS), explorando engenharia social e abuso de permissões para contornar soluções de segurança tradicionais. Ele se espalha por campanhas de phishing via SMS, redirecionando as vítimas para páginas de download falsas, onde instalam o APK malicioso fora da Play Store oficial. Após a instalação e concessão de permissões críticas, o Herodotus assume o controle total do dispositivo, realizando operações bancárias não autorizadas enquanto os usuários estão logados em suas contas financeiras.

Pesquisadores da ESET identificaram 12 aplicativos maliciosos para Android que gravam conversas e chamadas dos usuários sem o seu conhecimento. Esses aplicativos, disfarçados de plataformas de mensagens, são utilizados por cibercriminosos para instalar um spyware chamado VajraSpy nos dispositivos. O ataque começa com uma abordagem que cria uma falsa sensação de confiança, levando a vítima a instalar o aplicativo malicioso. Uma vez instalado, o VajraSpy tem acesso a informações confidenciais, como contatos, mensagens e localização, além de poder gravar áudios e chamadas. Embora alguns desses aplicativos tenham sido removidos da Google Play Store, outros ainda estão disponíveis, exigindo que os usuários tenham cautela ao baixar novos aplicativos. Para se proteger, recomenda-se não clicar em links suspeitos, verificar a reputação dos aplicativos e estar atento a sinais de infecção, como solicitações inesperadas de acesso ao microfone e consumo excessivo de bateria. A instalação de um antivírus também é uma medida recomendada para detectar atividades suspeitas em tempo real.

Um novo malware para Android, identificado como ‘Android/BankBot-YNRK’, está causando preocupação entre usuários de criptomoedas na Indonésia e em outros países do sudeste asiático. Este trojan bancário se disfarça de aplicativos populares, como WhatsApp e TikTok, e é capaz de drenar carteiras de criptomoedas sem que as vítimas percebam. O malware utiliza recursos de acessibilidade do Android para obter controle total do dispositivo, permitindo que os cibercriminosos acessem dados bancários, senhas e chaves de criptomoedas. Uma das características mais alarmantes do vírus é sua capacidade de desativar notificações e alertas, tornando difícil para o usuário perceber transações suspeitas em andamento. Além disso, o malware pode capturar imagens em tempo real, facilitando o roubo de credenciais de acesso. A Cyfirma, empresa de cibersegurança que identificou a ameaça, alerta que o vírus se espalha principalmente por meio de downloads de APKs de fontes não oficiais, enganando os usuários com simulações de verificações de dados pessoais. A situação é crítica, especialmente para dispositivos com Android 13 e versões anteriores, que oferecem permissões que facilitam a ação do malware.

O artigo aborda a segurança dos dispositivos Android, especialmente os da linha Samsung Galaxy, desmistificando a ideia de que o sistema é inerentemente inseguro. Com o aumento do trabalho remoto, a segurança dos dados corporativos se torna uma preocupação central para administradores de TI. A plataforma Samsung Knox é apresentada como uma solução robusta que combina proteções de hardware e software, permitindo um controle mais profundo sobre os dispositivos e dados da empresa. Entre as funcionalidades destacadas, estão a proteção proativa contra malware, com o Google Play Protect e o Samsung Message Guard, que previnem ataques de zero-click. Além disso, a plataforma oferece ferramentas para gerenciar atualizações de forma eficiente, permitindo que administradores controlem o timing e a versão dos updates, minimizando interrupções. O artigo também enfatiza que a maioria das violações de segurança está relacionada a falhas humanas, e não apenas a vulnerabilidades de plataforma. Portanto, a implementação de políticas de segurança e a utilização de soluções como o Samsung Knox são essenciais para garantir a proteção dos dados corporativos.

Em 3 de novembro de 2025, o Google divulgou seu Boletim de Segurança Android, revelando uma vulnerabilidade crítica de execução remota de código (CVE-2025-48593) que afeta dispositivos Android em todo o mundo. Essa falha, que não requer interação do usuário para ser explorada, representa um risco severo, pois permite que atacantes executem código arbitrário em dispositivos vulneráveis. A vulnerabilidade impacta as versões Android 13, 14, 15 e 16, e a sua gravidade é acentuada pelo fato de que os usuários não podem mitigar o problema através de mudanças de comportamento ou práticas de segurança. O Google recomenda que todos os dispositivos com nível de patch de segurança de 2025-11-01 ou posterior sejam atualizados imediatamente para se proteger contra essa e outras ameaças. Além disso, uma outra vulnerabilidade de elevação de privilégios (CVE-2025-48581) foi identificada, afetando exclusivamente o Android 16. O Google também enfatiza a importância de atualizações regulares e o uso do Google Play Protect para aumentar a segurança dos dispositivos.

Pesquisadores de cibersegurança identificaram dois novos trojans para Android, BankBot-YNRK e DeliveryRAT, que têm a capacidade de coletar dados sensíveis de dispositivos comprometidos. O BankBot-YNRK, por exemplo, evita a detecção ao verificar se está sendo executado em um ambiente virtualizado e coleta informações sobre o dispositivo, como fabricante e modelo. Ele se disfarça como um aplicativo governamental indonésio, ‘Identitas Kependudukan Digital’, e, uma vez instalado, silencia notificações para não alertar a vítima sobre atividades suspeitas. O malware é projetado para operar em dispositivos Android 13 e anteriores, já que a versão 14 introduziu novas proteções contra o uso indevido de serviços de acessibilidade. Por outro lado, o DeliveryRAT, que tem sido distribuído sob a forma de serviços de entrega, coleta dados de SMS e registros de chamadas, além de ocultar seu ícone para dificultar a remoção. Ambos os trojans representam uma ameaça significativa, especialmente para usuários de dispositivos Android no Brasil, onde a segurança de dados financeiros é uma preocupação crescente.

O malware Herodotus, recentemente identificado pela Threat Fabric, tem gerado preocupações no Brasil e na Itália por sua capacidade de imitar o comportamento humano e enganar sistemas de segurança bancários. Este software malicioso, que opera como um Malware-as-a-Service (MaaS), é distribuído através de fraudes conhecidas como SMiShing, onde usuários recebem mensagens de texto com links maliciosos. Ao clicar no link, a vítima baixa um dropper que instala o Herodotus no dispositivo Android, permitindo que o malware obtenha acesso total ao aparelho.

Em resposta à crescente ameaça de golpes móveis, a Google anunciou melhorias significativas na proteção do Android, utilizando inteligência artificial para combater fraudes. Em um relatório divulgado em 30 de outubro de 2025, a empresa destacou que suas defesas baseadas em IA superam as de outras plataformas, com um impacto positivo na segurança dos usuários. No último ano, os golpes móveis geraram perdas superiores a 400 bilhões de dólares globalmente. O sistema do Android processa mensalmente mais de 10 bilhões de chamadas e mensagens suspeitas, bloqueando mais de 100 milhões de números fraudulentos recentemente. A pesquisa realizada pela YouGov, envolvendo 5.000 usuários nos EUA, Índia e Brasil, revelou que usuários do Android, especialmente os do Google Pixel, relataram menos mensagens de golpe em comparação aos usuários do iOS. Além disso, a análise de segurança da Leviathan Security Group confirmou que o Pixel 10 Pro oferece a melhor proteção contra fraudes. As funcionalidades incluem filtragem automática de spam e detecção de padrões de conversação fraudulentos, garantindo a privacidade dos usuários. Com atualizações contínuas através do Google Play Protect, o Android se mantém à frente das ameaças móveis em constante evolução.

O Google anunciou que suas defesas contra fraudes em Android protegem usuários globalmente, bloqueando mais de 10 bilhões de chamadas e mensagens suspeitas mensalmente. A empresa impediu que mais de 100 milhões de números suspeitos utilizassem os Serviços de Comunicação Ricos (RCS), evitando que fraudes fossem enviadas. Recentemente, o Google implementou links mais seguros no aplicativo Google Messages, alertando os usuários sobre URLs em mensagens marcadas como spam. A análise de relatórios de usuários revelou que fraudes de emprego são as mais comuns, seguidas por golpes financeiros relacionados a contas falsas e esquemas de investimento. O Google também observou um aumento em mensagens fraudulentas enviadas em grupos, o que pode tornar as fraudes menos suspeitas. As mensagens fraudulentas seguem um padrão de envio, com picos de atividade nas manhãs de segunda-feira. Os golpistas utilizam táticas como ‘Spray and Pray’ e ‘Bait and Wait’ para enganar as vítimas, e a operação é apoiada por fornecedores que oferecem serviços de envio em massa. O cenário de mensagens fraudulentas é volátil, com golpistas mudando constantemente de estratégia para evitar a detecção.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Herodotus, que está em campanhas ativas visando usuários na Itália e no Brasil. O malware, que foi anunciado em fóruns underground em setembro de 2025, é projetado para realizar ataques de tomada de controle de dispositivos (DTO) e se destaca por tentar imitar o comportamento humano para evitar a detecção por biometria comportamental. Herodotus é distribuído por aplicativos disfarçados, como uma versão falsa do Google Chrome, e utiliza serviços de acessibilidade para interagir com a tela do dispositivo, exibir telas de login falsas e roubar credenciais. Além disso, o trojan pode interceptar códigos de autenticação de dois fatores (2FA) e instalar arquivos APK remotamente. Uma característica inovadora do Herodotus é a introdução de atrasos aleatórios nas ações remotas, o que simula a digitação humana e dificulta a detecção por soluções antifraude. O malware está em desenvolvimento ativo e já mira organizações financeiras em diversos países, incluindo os EUA e o Reino Unido, ampliando seu alcance. A ameaça representa um risco significativo para usuários de dispositivos Android, especialmente em um contexto onde a segurança financeira é crítica.

Um novo Trojan bancário para Android, chamado Herodotus, foi identificado como uma ameaça sofisticada que utiliza técnicas avançadas para evitar a detecção por biometria comportamental. Desenvolvido por um grupo conhecido como ‘K1R0’, o malware simula padrões de interação humana durante sessões de fraude, introduzindo atrasos aleatórios entre os eventos de entrada de texto, o que dificulta a identificação por sistemas de análise de digitação. Herodotus combina funcionalidades do Trojan Brokewell e é oferecido como Malware-as-a-Service em fóruns clandestinos, indicando sua ampla adoção comercial.

Pesquisadores das Universidades da Califórnia, Carnegie Mellon e Washington identificaram um novo tipo de ataque chamado Pixnapping, que explora vulnerabilidades em dispositivos Android para roubar códigos de autenticação em duas etapas (2FA) e outros dados sensíveis. O ataque é classificado como um ataque de canal lateral, onde o malware consegue contornar as ferramentas de segurança dos navegadores e acessar informações através da API do Android e do hardware do dispositivo. O método utilizado permite que o malware capture dados em apenas 30 segundos, afetando diversos modelos de celulares, incluindo os da Google e Samsung, com versões do Android variando da 13 à 16.

Especialistas em segurança da Cleafy identificaram um novo aplicativo malicioso chamado Mbdro Pro IP TV + VPN, que se disfarça como um serviço de VPN e streaming para Android. Este aplicativo não apenas falha em fornecer as funcionalidades prometidas, mas também instala um trojan bancário conhecido como Klopatra, que ainda não foi classificado em uma família de malwares específica. O Klopatra utiliza engenharia social para enganar os usuários e roubar suas credenciais, permitindo que os atacantes realizem transações fraudulentas. O uso de aplicativos falsos de VPN e IPTV está se tornando uma tendência crescente, com riscos ocultos mesmo em aplicativos legítimos disponíveis na Play Store. Um estudo recente da Open Technology Fund revelou que 32 VPNs comerciais, utilizadas por mais de um bilhão de pessoas, apresentam sérios problemas de segurança. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis e verificar as permissões solicitadas. A situação é alarmante, pois muitos usuários, ao buscar serviços clandestinos, ignoram as soluções de segurança disponíveis.

Uma nova campanha de malware para Android, identificada como GhostBat RAT, está explorando a aparência de aplicativos do Escritório de Transporte Regional (RTO) da Índia para roubar dados bancários e credenciais de UPI de usuários indianos. O malware utiliza técnicas avançadas de ofuscação, dropper em múltiplas etapas e engenharia social para enganar os usuários, sendo distribuído através de aplicativos falsos do mParivahan via WhatsApp, SMS e sites comprometidos.

Após a instalação, o aplicativo falso solicita permissões de SMS sob o pretexto de uma atualização e começa a coletar dados sensíveis. Desde setembro de 2025, foram identificadas mais de 40 amostras de APK maliciosos, que empregam técnicas de evasão como manipulação de cabeçalho ZIP e mecanismos anti-emulação. O malware também realiza phishing, levando os usuários a uma interface falsa de UPI onde são induzidos a inserir seus PINs, que são enviados para um endpoint controlado pelos atacantes.