Kaspersky

Um novo backdoor chamado Keenadu foi identificado pela Kaspersky em dispositivos Android, especialmente em firmwares de tablets como o Alldocube iPlay 50 mini Pro. O malware, que se infiltra durante a fase de construção do firmware, permite que atacantes coletem dados e controlem remotamente os dispositivos. A Kaspersky detectou que o Keenadu foi encontrado em atualizações OTA e que ele carrega assinaturas digitais válidas, dificultando sua detecção. O malware injeta um loader em cada aplicativo ao ser iniciado, permitindo acesso a funcionalidades como redirecionamento de buscas e monetização de instalações de aplicativos. Até agora, 13.715 usuários em todo o mundo foram afetados, com a maioria dos casos registrados na Rússia, Japão, Alemanha, Brasil e Países Baixos. A arquitetura cliente-servidor do Keenadu permite que ele execute cargas maliciosas personalizadas, além de contornar permissões de aplicativos, comprometendo a segurança do sistema Android. A descoberta do Keenadu é alarmante, pois representa uma nova forma de ataque que pode afetar a privacidade e a segurança dos usuários de dispositivos Android.

Um novo malware sofisticado para Android, chamado Keenadu, foi descoberto embutido em firmware de várias marcas de dispositivos, permitindo que ele comprometa todos os aplicativos instalados e obtenha controle irrestrito sobre os dispositivos infectados. Segundo a Kaspersky, Keenadu possui múltiplos mecanismos de distribuição, incluindo imagens de firmware comprometidas entregues via OTA, backdoors, aplicativos de sistema modificados e até mesmo aplicativos na Google Play. Até fevereiro de 2026, foram confirmados 13.000 dispositivos infectados, com muitos localizados em países como Rússia, Japão, Alemanha, Brasil e Países Baixos. A variante integrada ao firmware é a mais potente, não se ativando se o idioma ou fuso horário estiver associado à China, o que pode indicar sua origem. Embora os operadores do malware estejam focados em fraudes publicitárias, suas capacidades incluem roubo de dados e ações arriscadas no dispositivo comprometido. A Kaspersky alerta que, devido à profundidade da infecção no firmware, a remoção padrão do Android não é possível, recomendando que os usuários busquem versões limpas do firmware ou considerem substituir o dispositivo por um de fornecedores confiáveis.

A Kaspersky revelou uma nova campanha de phishing que explora o recurso de convites a equipes da OpenAI para roubar dados bancários de usuários. Os hackers, identificados como norte-coreanos, criam contas empresariais falsas que registram links e números de telefone maliciosos, gerando uma falsa sensação de segurança. Utilizando essas contas, eles enviam e-mails fraudulentos a partir de endereços legítimos, pressionando as vítimas a fornecerem informações financeiras. Os e-mails maliciosos frequentemente alegam renovações de assinatura com valores superiores ou oferecem promoções irresistíveis, levando muitos usuários desavisados a cair na armadilha. Além disso, os criminosos também utilizam táticas de vishing, realizando ligações para pressionar as vítimas em tempo real. A Kaspersky recomenda que os usuários desconfiem de convites não solicitados de plataformas da OpenAI e verifiquem cuidadosamente os endereços de e-mail e números de telefone antes de agir.

Com a aproximação do período de volta às aulas, a Kaspersky alerta para o aumento de golpes virtuais que visam enganar consumidores em busca de materiais escolares e uniformes. Os cibercriminosos aproveitam a urgência das compras, criando sites falsos que imitam lojas conhecidas, oferecendo preços muito abaixo do mercado e promoções urgentes. Esses golpes podem ocorrer por meio de SMS, WhatsApp, e-mails e redes sociais, levando os usuários a clicarem em links fraudulentos que podem roubar dados pessoais e bancários. Para se proteger, a Kaspersky recomenda que os consumidores verifiquem sempre a fonte das ofertas, acessem diretamente os sites oficiais das lojas e desconfiem de mensagens inesperadas. Além disso, é importante ficar atento a boletos e pagamentos via Pix, confirmando a legitimidade dos documentos antes de efetuar qualquer transação. Com a crescente digitalização das compras, a conscientização sobre esses riscos é fundamental para evitar prejuízos financeiros.

Um novo malware, denominado Shai Hulud 2.0, foi identificado por especialistas da Kaspersky e está causando preocupação no cenário de cibersegurança. Distribuído através do Node Package Manager (npm), esse worm apresenta um funcionamento em dois estágios. Na primeira fase, ele compromete pacotes npm, enquanto na segunda, se não conseguir roubar dados, apaga arquivos do usuário. Desde sua descoberta em setembro de 2025, mais de 800 pacotes npm foram infectados, afetando principalmente desenvolvedores no Brasil, mas também em países como China, Índia, Rússia, Turquia e Vietnã.

A Kaspersky identificou uma nova campanha de ciberespionagem chamada PassiveNeuron, que visa organizações governamentais, financeiras e industriais na Ásia, África e América Latina. Os ataques foram inicialmente detectados em novembro de 2024, com foco em entidades governamentais na América Latina e na Ásia Oriental. Os invasores utilizam malwares sofisticados, como Neursite e NeuralExecutor, que permitem movimentação lateral na infraestrutura das vítimas e exfiltração de dados. A campanha se destaca pelo uso de servidores internos comprometidos como infraestrutura de comando e controle, dificultando a detecção. Os atacantes têm explorado vulnerabilidades em servidores Windows, possivelmente através de injeções SQL ou força bruta, para implantar backdoors e ferramentas como Cobalt Strike. Desde dezembro de 2024, novas infecções foram observadas, com indícios de que os autores sejam falantes de chinês. A Kaspersky alerta que a campanha é particularmente perigosa devido ao foco em servidores expostos à internet, que são alvos atrativos para ameaças persistentes avançadas (APTs).

O novo trojan bancário chamado Maverick está atacando usuários brasileiros, infectando computadores através de arquivos de atalho do Windows e se espalhando pelo WhatsApp Web. A Kaspersky, que identificou a ameaça, bloqueou mais de 62 mil tentativas de ataque apenas em outubro de 2025. O vírus verifica se a vítima está no Brasil, utilizando informações como fuso horário e idioma do sistema, antes de prosseguir com a infecção. Uma vez instalado, o Maverick tem a capacidade de monitorar o que o usuário digita, tirar capturas de tela e acessar informações de 26 bancos e 6 corretoras de criptomoedas. A infecção ocorre na memória do computador, dificultando a detecção por ferramentas de segurança. O trojan utiliza criptografia AES-256 para ocultar suas operações, indicando uma possível continuidade de campanhas maliciosas anteriores. Para se proteger, recomenda-se desconfiar de arquivos recebidos pelo WhatsApp, evitar clicar em arquivos de atalho de fontes não confiáveis e utilizar aplicativos de segurança.

Pesquisadores de cibersegurança da Kaspersky descobriram que hackers estão utilizando o Skype para disseminar um novo malware chamado GodRAT, que se disfarça como documentos financeiros. O ataque, que afeta principalmente pequenas e médias empresas (PMEs) no Oriente Médio, envolve o uso de arquivos de protetor de tela maliciosos que, por meio de esteganografia, ocultam um código que baixa o GodRAT de um servidor externo. Uma vez instalado, o malware coleta informações do sistema operacional e pode receber plugins adicionais, como exploradores de arquivos e ladrões de senhas. O GodRAT é considerado uma evolução de um malware anterior, o AwesomePuppet, e sua descoberta ressalta a relevância contínua de ferramentas conhecidas no cenário atual de cibersegurança. Embora a Kaspersky não tenha divulgado o número exato de vítimas, enfatizou que a maioria delas está localizada em países como Emirados Árabes Unidos, Hong Kong, Jordânia e Líbano. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger as empresas contra tais ameaças.

Um novo ataque cibernético está direcionando instituições financeiras, como corretoras e empresas de trading, utilizando um trojan de acesso remoto chamado GodRAT. Este malware, que foi identificado pela Kaspersky, se disfarça como arquivos de documentos financeiros, sendo distribuído via Skype na forma de arquivos .SCR (screensaver). Os ataques, que começaram a ser observados em setembro de 2024, utilizam técnicas de esteganografia para ocultar código malicioso dentro de arquivos de imagem, permitindo o download do GodRAT a partir de um servidor de comando e controle (C2).