Android

No segundo trimestre de 2025, a Kaspersky identificou 143.000 pacotes de instalação maliciosos direcionados a dispositivos Android e novas variantes de spyware que infiltraram o ecossistema iOS. Embora o número total de incidentes de malware móvel tenha diminuído para 10,71 milhões em comparação ao trimestre anterior, os trojans e malwares bancários continuam a representar os riscos mais severos para os usuários de smartphones. Os trojans bancários, especialmente da família Mamont, foram responsáveis por 42.220 das infecções, destacando-se o Mamont.ev, que teve um aumento significativo de atividade. Além disso, um novo spyware chamado SparkKitty, que coleta imagens e códigos de recuperação de carteiras de criptomoedas, foi detectado em ambas as plataformas. A descoberta de backdoors pré-instalados em dispositivos Android e a utilização de serviços VPN fraudulentos para ocultar funcionalidades de spyware também foram alarmantes. Apesar da queda no número de incidentes, a qualidade e a diversidade das ameaças aumentaram, exigindo vigilância constante na instalação de aplicativos e na integridade da cadeia de suprimentos.

O Hook v3, a mais recente variante do trojan bancário para Android, apresenta um conjunto alarmante de funcionalidades, incluindo sobreposições de ransomware, prompts bancários falsos e funções de spyware. Pesquisadores da Zimperium zLabs identificaram que o malware agora suporta 107 comandos remotos, com 38 novos na última atualização, explorando os Serviços de Acessibilidade do Android. Essa evolução sugere uma transição de fraudes bancárias específicas para uma plataforma de ameaças mais versátil, aumentando o risco para usuários e instituições financeiras. Entre as novas táticas, destacam-se sobreposições que imitam telas de desbloqueio e pagamentos, como o Google Pay, que induzem as vítimas a fornecer dados sensíveis. Além disso, a capacidade de streaming em tempo real permite que os atacantes monitorem as atividades dos dispositivos das vítimas. O Hook v3 se espalha por meio de sites de phishing e APKs maliciosos hospedados no GitHub, o que facilita sua disseminação. A combinação de roubo passivo e monitoramento ativo torna essa ameaça particularmente intrusiva e preocupante para a segurança cibernética.

Especialistas em cibersegurança, como os da ThreatFabric, alertam sobre a evolução dos malwares para Android, que agora utilizam aplicativos do tipo dropper para instalar não apenas trojans bancários, mas também ladrões de SMS e spywares básicos. Apesar das recentes proteções implementadas pelo Google em mercados como Brasil, Cingapura, Índia e Tailândia, que visam impedir a instalação de aplicativos suspeitos fora da Play Store, os hackers estão se adaptando. Eles criam droppers que evitam a detecção ao baixar malwares após a instalação do aplicativo, contornando assim o Play Protect, que verifica os aplicativos antes de serem executados. Uma nova tática utilizada pelos criminosos é a exibição de telas de atualização que parecem inofensivas, mas que na verdade solicitam permissões para instalar malwares. Isso significa que, mesmo com as proteções, o usuário pode acabar aceitando a instalação de vírus, especialmente se ignorar os avisos do Google. O Google afirma que continua a melhorar suas proteções e que aplicativos maliciosos são constantemente removidos da Play Store. No entanto, a vulnerabilidade humana permanece um fator crítico na segurança dos dispositivos Android.

Em setembro de 2025, o Google lançou atualizações de segurança para corrigir 120 vulnerabilidades no sistema operacional Android, incluindo duas falhas críticas que já foram exploradas em ataques direcionados. As vulnerabilidades CVE-2025-38352 e CVE-2025-48543, ambas relacionadas a escalonamento de privilégios, permitem que um invasor obtenha acesso elevado sem a necessidade de permissões adicionais ou interação do usuário. O Google não divulgou detalhes sobre como essas falhas foram utilizadas em ataques reais, mas indicou que há evidências de exploração limitada e direcionada. Além dessas, foram corrigidas várias outras vulnerabilidades que afetam componentes do Framework e do Sistema, incluindo falhas de execução remota de código e negação de serviço. Para facilitar a implementação das correções, o Google disponibilizou dois níveis de patch de segurança, permitindo que parceiros do Android abordem rapidamente as vulnerabilidades comuns. A empresa enfatizou a importância de que todos os parceiros implementem as correções recomendadas. Este cenário destaca a necessidade de vigilância contínua e atualização dos sistemas para mitigar riscos de segurança.

Os usuários de Android em todo o mundo devem instalar imediatamente o patch de segurança de setembro de 2025 para proteger seus dispositivos contra vulnerabilidades de alta severidade que estão sendo ativamente exploradas. Lançada em 1º de setembro de 2025, a atualização aborda várias falhas críticas, incluindo duas que já foram confirmadas como alvo de exploração limitada e direcionada.

As vulnerabilidades mais preocupantes incluem uma falha de execução remota de código no componente do sistema, que permite a execução de código arbitrário sem privilégios adicionais ou interação do usuário. Além disso, duas falhas de Elevação de Privilégios (EoP) no Android Runtime e no Sistema, ambas classificadas como de alta severidade, também requerem atenção imediata.

Pesquisadores em cibersegurança alertam para uma nova tendência no cenário de malware para Android, onde aplicativos dropper, tradicionalmente usados para distribuir trojans bancários, agora também estão veiculando malwares mais simples, como ladrões de SMS e spyware básico. Essas campanhas estão sendo disseminadas por aplicativos que se disfarçam de aplicativos governamentais ou bancários, especialmente na Índia e em outras partes da Ásia. A ThreatFabric, empresa de segurança móvel, destacou que essa mudança é impulsionada pelas novas proteções de segurança que o Google implementou em mercados como Brasil, Índia, Singapura e Tailândia, visando bloquear a instalação de aplicativos suspeitos que solicitam permissões perigosas. Apesar das defesas do Google Play Protect, os atacantes estão adaptando suas táticas para contornar essas proteções, criando droppers que não solicitam permissões de alto risco e que exibem apenas uma tela de ‘atualização’ inofensiva. O verdadeiro payload é baixado apenas após o usuário clicar no botão de atualização. Um exemplo de dropper identificado é o RewardDropMiner, que tem sido utilizado para distribuir malwares direcionados a usuários na Índia. Além disso, uma nova campanha de malvertising está utilizando anúncios maliciosos no Facebook para disseminar um trojan bancário, atingindo usuários na União Europeia. Essa situação destaca a constante evolução das táticas dos cibercriminosos e a necessidade de vigilância contínua.

Cibercriminosos estão utilizando a plataforma de anúncios do Facebook para disseminar malware avançado para dispositivos Android. Um estudo da Bitdefender Labs documentou uma série de ataques em 2025, onde anúncios falsos promovem versões gratuitas do TradingView Premium, levando usuários a sites fraudulentos. Esses sites imitam páginas legítimas e induzem os usuários a baixar um arquivo APK malicioso que solicita permissões avançadas, como acesso à acessibilidade. O malware, uma variante evoluída do Brokewell, utiliza técnicas de ofuscação para evitar detecção e, uma vez instalado, permite que atacantes tenham controle total sobre os dispositivos comprometidos. Isso inclui a capacidade de roubar dados financeiros, contornar autenticações de dois fatores e até mesmo ativar microfones e câmeras. A campanha é global, com anúncios localizados em várias línguas e direcionados a usuários de Android, enquanto usuários de outras plataformas veem conteúdo benigno. A Bitdefender recomenda que usuários móveis instalem aplicativos apenas de fontes confiáveis e revisem cuidadosamente as permissões solicitadas.

A empresa de segurança mobile Zimperium alertou sobre uma nova variante do trojan bancário Hook, agora denominado Hook Versão 3, que se transformou em uma ameaça híbrida, atuando como spyware, ransomware e ferramenta de hacking. Este malware é capaz de executar 107 comandos remotos e possui 38 funções adicionais, aproveitando-se dos serviços de acessibilidade do Android para obter permissões irrestritas no dispositivo da vítima.

Uma das características mais preocupantes do Hook Versão 3 é sua capacidade de criar telas falsas transparentes, que imitam a tela de bloqueio e as telas de pagamento do Google Play, com o objetivo de roubar informações sensíveis, como PINs e dados de cartões de crédito. Além disso, o malware transmite a tela do celular em tempo real para os cibercriminosos, permitindo que eles monitorem as atividades da vítima. O ransomware também pode bloquear a tela do dispositivo, exigindo um pagamento em criptomoedas para a liberação.

Pesquisadores de segurança da Zscaler ThreatLabs identificaram 77 aplicativos maliciosos na Google Play Store, que foram baixados mais de 19 milhões de vezes. A maioria desses aplicativos, cerca de 25%, estava associada ao malware Joker, que pode enviar mensagens de texto, capturar telas, fazer chamadas telefônicas e roubar informações sensíveis dos usuários. Além do Joker, variantes como Harly e o trojan bancário Anatsa também foram detectados, sendo que este último pode roubar credenciais de login de mais de 800 aplicativos bancários e de criptomoedas. Os aplicativos maliciosos, descritos como “maskware”, funcionam normalmente, mas em segundo plano realizam atividades prejudiciais. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis, ativar o Play Protect, verificar as avaliações e permissões solicitadas pelos aplicativos antes da instalação. Essa situação evidencia que mesmo a Google Play Store, considerada uma fonte segura, não é imune a ameaças.

A equipe de pesquisa zLabs da Zimperium revelou uma evolução significativa do trojan bancário Hook para Android, agora na versão Hook v3, que incorpora 107 comandos remotos, sendo 38 novos recursos que ampliam suas capacidades. Entre as inovações mais preocupantes estão as sobreposições de estilo ransomware, que exibem mensagens de extorsão em tela cheia com detalhes de pagamento em criptomoeda, e um mecanismo agressivo de bypass de tela de bloqueio, que engana as vítimas a inserirem suas credenciais. Além disso, o malware pode exibir uma tela de escaneamento NFC falsa para roubar dados de pagamento sensíveis.

O Google anunciou que começará a verificar a identidade de todos os desenvolvedores que distribuem aplicativos no Android, incluindo aqueles que o fazem fora da Play Store. A medida visa aumentar a responsabilidade e dificultar a distribuição de aplicativos maliciosos. A partir de outubro de 2025, convites para a verificação serão enviados gradualmente, com a implementação total prevista para setembro de 2026 em países como Brasil, Indonésia, Cingapura e Tailândia. A vice-presidente do Android, Suzanne Frey, destacou que todos os aplicativos instalados em dispositivos Android certificados nessas regiões precisarão ser registrados por desenvolvedores verificados. Embora os desenvolvedores que já utilizam a Play Store não enfrentem grandes mudanças, a nova exigência busca impedir que atores maliciosos se façam passar por desenvolvedores legítimos. Além disso, a Google já havia implementado outras medidas de segurança, como a exigência de um número D-U-N-S para novos registros de contas de desenvolvedores organizacionais. Essas mudanças visam proteger os usuários de malware e fraudes, mantendo a escolha do usuário enquanto reforçam a segurança do ecossistema Android.

Pesquisadores de cibersegurança identificaram uma nova variante do trojan bancário HOOK, que agora incorpora telas de sobreposição no estilo ransomware para extorquir vítimas. Essa variante é capaz de exibir uma tela de alerta em tela cheia, que apresenta uma mensagem alarmante de ‘AVISO’, juntamente com um endereço de carteira e um valor, ambos recuperados dinamicamente de um servidor de comando e controle (C2). O ataque é iniciado remotamente quando o comando ‘ransome’ é enviado pelo servidor C2, e o atacante pode remover a sobreposição com o comando ‘delete_ransome’.

Pesquisadores de cibersegurança da McAfee descobriram uma campanha sofisticada de phishing no Android que visa usuários indianos, disfarçando-se como parte do programa de subsídio de eletricidade PM Surya Ghar do governo. O ataque utiliza uma operação de engenharia social em múltiplas etapas, incluindo vídeos no YouTube, sites falsos e aplicativos maliciosos hospedados no GitHub, com o objetivo de roubar informações financeiras e obter controle remoto dos dispositivos infectados.

A campanha começa com vídeos promocionais no YouTube que prometem subsídios de eletricidade por meio de um aplicativo móvel. Esses vídeos contêm URLs encurtadas que redirecionam as vítimas para sites de phishing que imitam de perto o portal oficial do programa. O site fraudulento apresenta instruções de registro falsas e um ícone enganoso do Google Play, que, ao ser clicado, baixa um arquivo APK malicioso.

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.

Pesquisadores de cibersegurança da Hunt.io descobriram e analisaram o código-fonte completo do ERMAC V3.0, um dos trojans bancários mais sofisticados para Android. O vazamento ocorreu em março de 2024, quando a equipe identificou um diretório exposto contendo o pacote completo do malware, incluindo seu backend em PHP e Laravel, frontend em React e servidor de exfiltração em Golang. O ERMAC V3.0 é capaz de atacar mais de 700 aplicativos de bancos, compras e criptomoedas globalmente, utilizando técnicas avançadas de injeção de formulários para roubar credenciais e dados financeiros. A análise revelou vulnerabilidades críticas, como segredos JWT hardcoded e credenciais padrão não alteradas, que podem ser exploradas por defensores. Além disso, o malware utiliza criptografia AES-CBC, mas com uma chave e nonce hardcoded, o que facilita sua detecção. A Hunt.io também conseguiu vincular o código vazado a operações ativas do ERMAC, destacando a necessidade urgente de medidas de segurança mais robustas contra esse tipo de ameaça.