Malware Android

Uma nova variante do malware TrickMo, focada em bancos, foi identificada em campanhas que visam usuários na Europa, especialmente na França, Itália e Áustria. Desde sua primeira aparição em setembro de 2019, o TrickMo tem passado por constantes atualizações e agora se disfarça como aplicativos populares, como TikTok e plataformas de streaming. A análise da ThreatFabric revela que essa versão, chamada ‘Trickmo.C’, utiliza a rede descentralizada The Open Network (TON) para comunicações furtivas com seus operadores, dificultando a identificação e bloqueio do servidor. O malware é modular e opera em duas etapas: um APK que atua como carregador e um segundo APK que executa funções ofensivas, como roubo de credenciais bancárias, keylogging e interceptação de SMS. Novas capacidades incluem suporte a proxy SOCKS5 e tunelamento SSH. Os usuários de Android são aconselhados a baixar aplicativos apenas do Google Play e a manter o Play Protect ativo para se proteger contra essa ameaça crescente.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, desenvolveu uma versão para Android de um backdoor chamado BirdCall, que já era conhecido por suas operações em sistemas Windows. Essa nova variante, que atua como spyware, foi identificada em um ataque à cadeia de suprimentos através de uma plataforma de jogos, especificamente o site sqgame[.]net, que hospeda jogos para Android, iOS e Windows. A pesquisa da ESET revelou que a versão Android do BirdCall foi criada em outubro de 2024 e possui pelo menos sete versões diferentes.

Um novo backdoor chamado Keenadu foi identificado pela Kaspersky em dispositivos Android, especialmente em firmwares de tablets como o Alldocube iPlay 50 mini Pro. O malware, que se infiltra durante a fase de construção do firmware, permite que atacantes coletem dados e controlem remotamente os dispositivos. A Kaspersky detectou que o Keenadu foi encontrado em atualizações OTA e que ele carrega assinaturas digitais válidas, dificultando sua detecção. O malware injeta um loader em cada aplicativo ao ser iniciado, permitindo acesso a funcionalidades como redirecionamento de buscas e monetização de instalações de aplicativos. Até agora, 13.715 usuários em todo o mundo foram afetados, com a maioria dos casos registrados na Rússia, Japão, Alemanha, Brasil e Países Baixos. A arquitetura cliente-servidor do Keenadu permite que ele execute cargas maliciosas personalizadas, além de contornar permissões de aplicativos, comprometendo a segurança do sistema Android. A descoberta do Keenadu é alarmante, pois representa uma nova forma de ataque que pode afetar a privacidade e a segurança dos usuários de dispositivos Android.

Um novo malware sofisticado para Android, chamado Keenadu, foi descoberto embutido em firmware de várias marcas de dispositivos, permitindo que ele comprometa todos os aplicativos instalados e obtenha controle irrestrito sobre os dispositivos infectados. Segundo a Kaspersky, Keenadu possui múltiplos mecanismos de distribuição, incluindo imagens de firmware comprometidas entregues via OTA, backdoors, aplicativos de sistema modificados e até mesmo aplicativos na Google Play. Até fevereiro de 2026, foram confirmados 13.000 dispositivos infectados, com muitos localizados em países como Rússia, Japão, Alemanha, Brasil e Países Baixos. A variante integrada ao firmware é a mais potente, não se ativando se o idioma ou fuso horário estiver associado à China, o que pode indicar sua origem. Embora os operadores do malware estejam focados em fraudes publicitárias, suas capacidades incluem roubo de dados e ações arriscadas no dispositivo comprometido. A Kaspersky alerta que, devido à profundidade da infecção no firmware, a remoção padrão do Android não é possível, recomendando que os usuários busquem versões limpas do firmware ou considerem substituir o dispositivo por um de fornecedores confiáveis.

O grupo de ameaças cibernéticas norte-coreano Kimsuky está vinculado a uma nova campanha que distribui uma variante de malware para Android chamada DocSwap. O malware é disseminado por meio de QR codes hospedados em sites de phishing que imitam a empresa de logística CJ Logistics. Os atacantes utilizam QR codes e pop-ups de notificação para enganar as vítimas, levando-as a instalar o malware em seus dispositivos móveis. A aplicação maliciosa, ao ser instalada, decripta um APK embutido e ativa um serviço que permite controle remoto (RAT) do dispositivo. Para contornar as advertências de segurança do Android, os atacantes apresentam o aplicativo como uma versão oficial e segura. Além disso, a campanha utiliza mensagens de smishing e e-mails de phishing que se passam por empresas de entrega para atrair as vítimas. Uma vez instalado, o malware pode registrar teclas, capturar áudio, acessar a câmera, realizar operações de arquivos e coletar dados sensíveis, como mensagens SMS e contatos. O ataque também inclui amostras disfarçadas de aplicativos legítimos, como um VPN, demonstrando a evolução das táticas do grupo. A análise revela que os sites de phishing estão associados a campanhas anteriores de coleta de credenciais, aumentando a preocupação com a segurança dos usuários na Coreia do Sul e potencialmente em outros locais, incluindo o Brasil.