Malware

Pesquisadores de cibersegurança descobriram uma sofisticada campanha de malvertising que utiliza repositórios oficiais do GitHub para distribuir malware disfarçado como downloads do cliente GitHub Desktop. O ataque começa quando atores de ameaças ‘forkam’ repositórios legítimos do GitHub, inserindo conteúdo malicioso em arquivos README.md. Links manipulados direcionam os usuários para esses repositórios comprometidos, onde encontram uma página que parece ser a oficial do GitHub Desktop. No entanto, o link de download leva a um instalador malicioso, identificado como GitHubDesktopSetup-x64.exe, que inicia uma cadeia de execução complexa envolvendo processos legítimos do Windows para evitar a detecção. O malware utiliza técnicas de evasão sofisticadas, armazenando cargas úteis codificadas em mensagens de commit e executando scripts PowerShell maliciosos. A campanha é direcionada especificamente a sistemas Windows e demonstra como plataformas confiáveis podem ser abusadas para distribuir malware, destacando a necessidade de soluções robustas de detecção e resposta em endpoints e a importância da educação dos usuários sobre a verificação de fontes de download.

Desde o final de agosto de 2025, a Trend™ Research identificou um aumento global de malware disfarçado como aplicações legítimas de IA e produtividade, denominado EvilAI. Este malware utiliza trojans que se apresentam com interfaces realistas e funcionalidades válidas, permitindo a infiltração em sistemas corporativos e pessoais sem levantar suspeitas. Os instaladores do EvilAI são nomeados com termos genéricos, como ‘App Suite’ e ‘PDF Editor’, e, após a instalação, executam um payload JavaScript malicioso em segundo plano. Para garantir a persistência, o malware cria tarefas agendadas e entradas no registro do Windows, permitindo sua reexecução mesmo após reinicializações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no software DELMIA Apriso da Dassault Systèmes em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-5086, possui uma pontuação CVSS de 9.0, indicando um alto nível de risco. O problema afeta versões do software desde 2020 até 2025 e pode permitir a execução remota de código, resultando em sérios riscos de segurança. A CISA alertou que tentativas de exploração estão ativas, com ataques originando-se de um endereço IP localizado no México. Os ataques envolvem o envio de uma solicitação HTTP a um endpoint específico, utilizando um payload codificado em Base64 que se decodifica para um executável malicioso. O malware identificado como ‘Trojan.MSIL.Zapchast.gen’ é projetado para espionar atividades do usuário, coletando informações sensíveis. Diante da exploração ativa, as agências do governo dos EUA foram orientadas a aplicar atualizações até 2 de outubro de 2025 para proteger suas redes.

Pesquisadores da Bitdefender alertaram sobre um novo malware sem arquivo, chamado EggStreme, que foi utilizado por um ator de ameaça chinês para atacar uma empresa militar nas Filipinas. O EggStreme é uma estrutura modular que permite acesso remoto, injeção de payloads, registro de teclas e espionagem persistente. O malware é composto por seis componentes principais, incluindo um carregador inicial que estabelece uma conexão reversa e um backdoor principal que suporta 58 comandos. A entrega do malware ocorre por meio de um arquivo DLL carregado lateralmente, que é ativado por executáveis confiáveis, permitindo que ele contorne controles de segurança. Embora a Bitdefender tenha tentado atribuir o ataque a grupos APT chineses conhecidos, não conseguiu estabelecer uma conexão clara, mas os objetivos do ataque se alinham com as táticas de espionagem cibernética frequentemente associadas a esses grupos. O ataque destaca a crescente preocupação com a segurança cibernética na região da Ásia-Pacífico, onde atores estatais têm se mostrado ativos em várias nações vizinhas, incluindo Vietnã e Taiwan.

O AdaptixC2, um framework de pós-exploração de código aberto, tem sido utilizado em diversos ataques reais nos últimos meses. Pesquisadores da Unit 42 identificaram sua implementação em maio de 2025, revelando campanhas que combinam engenharia social e scripts gerados por IA para comprometer endpoints Windows. A arquitetura modular do AdaptixC2, junto com perfis de configuração criptografados e técnicas de execução sem arquivo, permite que os atacantes mantenham acesso persistente e oculto, evitando defesas tradicionais.

O ZynorRAT, um novo Trojan de Acesso Remoto (RAT), está gerando preocupações entre pesquisadores de segurança devido às suas capacidades multiplataforma e à infraestrutura de comando e controle (C2) furtiva. Lançado em julho de 2025, o ZynorRAT utiliza binários em Go para Linux e Windows, permitindo uma gama de funções controladas por atacantes através de um bot no Telegram. O RAT estabelece seu canal C2 por meio do Telegram, incorporando o token do bot e o identificador de chat diretamente no binário. Ao ser executado, ele consulta a API do Telegram para comandos, executando instruções reconhecidas ou revertendo para a execução de shell. Entre as funções disponíveis estão exfiltração de arquivos, listagem de diretórios e processos, captura de tela e instalação de persistência. O ZynorRAT também demonstra um desenvolvimento ativo, com uma redução nas taxas de detecção em uploads sucessivos ao VirusTotal. A detecção e mitigação são possíveis através de regras específicas e assinaturas YARA, com recomendações para monitoramento contínuo e auditoria de diretórios de serviços de usuário. Dada a sua evolução e potencial de exploração, as organizações devem atualizar suas regras de detecção e reforçar controles de saída de rede.

Pesquisadores do Zscaler ThreatLabz identificaram uma campanha de malware sofisticada que visa usuários de língua chinesa desde maio de 2025, introduzindo uma nova família de Trojans de Acesso Remoto (RAT) chamada kkRAT. Os atacantes utilizam sites de phishing hospedados no GitHub Pages, disfarçando-se como instaladores de software legítimos para distribuir arquivos ZIP maliciosos. Esses arquivos contêm um executável benigno e uma DLL maliciosa que carrega o payload final, que pode ser ValleyRAT, FatalRAT ou kkRAT, dependendo do caso.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cursor AI Code Editor, permitindo que atacantes executem comandos arbitrários na máquina de um desenvolvedor assim que uma pasta de projeto é aberta. Descoberta pela equipe de pesquisa da Oasis Security, a falha explora uma configuração padrão do Cursor que desativa o recurso ‘Workspace Trust’, semelhante ao do Visual Studio Code, mas que não solicita consentimento do usuário. Com isso, um invasor pode criar um repositório malicioso contendo um arquivo .vscode/tasks.json configurado para executar comandos automaticamente ao abrir a pasta comprometida. Isso pode resultar na instalação de backdoors, exfiltração de arquivos ou modificação de configurações do sistema, colocando em risco credenciais de alto privilégio armazenadas nas estações de trabalho dos desenvolvedores. A vulnerabilidade pode ser um ponto de partida para ataques em cadeia, comprometendo pipelines de CI/CD e infraestrutura em nuvem. A Cursor reconheceu o problema e planeja publicar orientações de segurança atualizadas, enquanto recomenda-se que equipes de desenvolvimento ativem manualmente o ‘Workspace Trust’ e evitem abrir repositórios não confiáveis em ambientes isolados.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza o software legítimo ConnectWise ScreenConnect para distribuir um loader que instala um trojan de acesso remoto (RAT) chamado AsyncRAT. O ataque começa com o uso do ScreenConnect para obter acesso remoto, seguido pela execução de um loader em VBScript e PowerShell que busca componentes ofuscados em URLs externas. Esses componentes incluem assemblies .NET codificados que se descompactam em AsyncRAT, mantendo persistência através de uma tarefa agendada disfarçada de ‘Skype Updater’.

Uma campanha sofisticada de malware sem arquivo foi descoberta, utilizando o AsyncRAT, um poderoso Trojan de Acesso Remoto. Pesquisadores da LevelBlue detalharam a metodologia do ataque, que começa com um cliente ScreenConnect comprometido, um software legítimo de acesso remoto. Os atacantes estabelecem uma sessão interativa através de um domínio malicioso, executando um arquivo VBScript que aciona comandos PowerShell para baixar dois payloads externos.

Os payloads são carregados diretamente na memória, sem deixar vestígios em disco, utilizando técnicas de reflexão. A primeira etapa do malware, Obfuscator.dll, é responsável por inicialização, persistência e técnicas de evasão. A persistência é alcançada através de uma tarefa agendada disfarçada de “Skype Updater”. O segundo componente, AsyncClient.exe, implementa funcionalidades de comando e controle, realizando reconhecimento do sistema e coletando informações sensíveis, como dados de carteiras de criptomoedas. O uso de técnicas avançadas de evasão e a execução apenas em memória tornam o AsyncRAT uma ameaça significativa para a segurança cibernética, destacando a necessidade de soluções de segurança mais robustas.

Um grupo de ameaça persistente avançada (APT) da China foi responsabilizado pelo comprometimento de uma empresa militar nas Filipinas, utilizando um malware fileless inédito chamado EggStreme. Segundo a pesquisa da Bitdefender, o EggStreme é uma ferramenta multifásica que permite espionagem discreta, injetando código malicioso diretamente na memória e utilizando técnicas de DLL sideloading para executar cargas úteis. O componente central, EggStremeAgent, atua como um backdoor completo, permitindo reconhecimento extensivo do sistema, movimentação lateral e roubo de dados através de um keylogger.

Uma nova campanha de malware está atacando APIs Docker mal configuradas expostas à internet, implantando cryptominers e utilizando a rede Tor para ocultar suas atividades. Inicialmente relatada em junho de 2025 pela equipe de Inteligência de Ameaças da Trend Micro, essa variante foi observada em honeypots da Akamai em agosto de 2025, ampliando suas capacidades de infecção. O malware explora portas Docker abertas (2375) para lançar um contêiner Alpine, montar o sistema de arquivos raiz do host e executar scripts maliciosos. A persistência é garantida por meio de modificações nas configurações SSH e criação de tarefas cron para comunicação discreta. A nova variante identificada pela Akamai não apenas implanta um cryptominer, mas também um pacote multifuncional que inclui ferramentas como masscan e libpcap, bloqueando o acesso a outras ameaças. Os indicadores de comprometimento incluem implantações incomuns de contêineres e conexões de saída para domínios .onion. Para mitigar esses riscos, recomenda-se restringir a exposição da API Docker e monitorar acessos não autorizados.

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

O Centro de Inteligência de Ameaças S2W da Coreia do Sul revelou uma campanha sofisticada do grupo APT Kimsuky, apoiado pela Coreia do Norte, que utiliza repositórios do GitHub para hospedar e atualizar malware baseado em PowerShell. Os atacantes disfarçam arquivos LNK como faturas eletrônicas, criando backdoors persistentes e exfiltrando metadados sensíveis para repositórios controlados por eles. A intrusão começa com um arquivo ZIP contendo um atalho malicioso que, ao ser executado, baixa e executa um script PowerShell de um repositório privado no GitHub. Este script não apenas disfarça a atividade maliciosa, mas também coleta informações críticas do sistema, como endereço IP e versão do sistema operacional, enviando esses dados de volta para o repositório do atacante. A análise dos repositórios revelou a utilização de ferramentas de acesso remoto (RAT) e processos de monitoramento de área de transferência. Para mitigar essa ameaça, recomenda-se que equipes de segurança monitorem o tráfego da API do GitHub e implementem validações mais rigorosas de tokens do GitHub em scripts.

A empresa de cibersegurança Kroll revelou uma campanha de espionagem sofisticada utilizando um malware inédito chamado GONEPOSTAL, atribuído ao grupo de ameaças patrocinado pelo estado russo KTA007, conhecido como Fancy Bear ou APT28. Este malware inova ao usar a funcionalidade de e-mail do Microsoft Outlook como um canal oculto para comunicações de comando e controle (C2).

A arquitetura do GONEPOSTAL é composta por um dropper DLL malicioso e um arquivo VbaProject.OTM protegido por senha, que contém macros do Outlook. O ataque inicia com a execução de um DLL malicioso que se disfarça como uma biblioteca legítima da Microsoft, redirecionando funções para garantir a funcionalidade normal do aplicativo enquanto executa código malicioso.

O Salty2FA é um novo kit de phishing que tem se destacado por sua capacidade de contornar métodos de autenticação de dois fatores (2FA), colocando em risco diversas indústrias, especialmente nos setores financeiro, energético e de telecomunicações. Identificado em campanhas nos EUA e na Europa, o kit utiliza uma cadeia de execução em múltiplas etapas e infraestrutura evasiva para interceptar credenciais e códigos 2FA. A análise de um caso real revelou que um funcionário recebeu um e-mail disfarçado de solicitação de correção de pagamento, levando-o a uma página de login falsa da Microsoft. A partir daí, as credenciais foram roubadas e, se a conta tivesse 2FA, o kit poderia interceptar os códigos de verificação. Para mitigar os riscos associados ao Salty2FA, as equipes de segurança devem focar na detecção de comportamentos, realizar análises em sandbox e reforçar políticas de autenticação multifatorial, priorizando tokens de aplicativo ou hardware em vez de SMS. A adoção de sandboxes interativas, como o ANY.RUN, pode aumentar a eficiência das operações de segurança, permitindo investigações mais rápidas e precisas.

O Comitê Selecionado da Câmara dos EUA sobre a China emitiu um alerta sobre uma série de campanhas de espionagem cibernética altamente direcionadas, supostamente ligadas à República Popular da China (RPC), em meio a negociações comerciais tensas entre os EUA e a China. As campanhas têm como alvo organizações e indivíduos envolvidos na política comercial e diplomática entre os dois países, incluindo agências governamentais dos EUA, empresas, escritórios de advocacia em Washington e grupos de reflexão. Os atacantes, identificados como APT41, usaram e-mails de phishing se passando pelo congressista republicano John Robert Moolenaar para enganar os destinatários e obter acesso não autorizado a sistemas e informações sensíveis. O objetivo final era roubar dados valiosos, utilizando serviços de software e nuvem para ocultar suas atividades. O ataque mais recente envolveu um e-mail que continha um anexo malicioso que, ao ser aberto, implantava malware para coletar dados sensíveis. O comitê acredita que essas ações são parte de uma operação de espionagem cibernética apoiada pelo estado chinês, visando influenciar as deliberações políticas dos EUA e obter vantagens nas negociações comerciais.

Pesquisadores de cibersegurança da CYFIRMA identificaram um infostealer sofisticado, denominado Salat Stealer (ou WEB_RAT), que opera com uma infraestrutura avançada de comando e controle (C2) para extrair dados sensíveis de sistemas Windows. Este malware é especialmente eficaz na exfiltração de credenciais de navegadores, informações de carteiras de criptomoedas e dados de sessão, utilizando diversas técnicas de evasão para evitar a detecção. O arquivo analisado, com 3,14 MB, apresenta um alto valor de entropia, indicando forte ofuscação. Ao ser executado, o Salat Stealer implementa mecanismos de persistência, como entradas no registro e tarefas agendadas com nomes enganosos, para se disfarçar como processos legítimos do sistema.

Uma nova campanha de cibersegurança identificada pela Darktrace revela um sofisticado malware de criptomineração que utiliza o mapa de caracteres do Windows para se infiltrar em sistemas. Conhecido como cryptojacking, esse tipo de ataque utiliza o poder de processamento dos computadores para minerar criptomoedas em benefício dos hackers. A análise foi conduzida pelas especialistas Keanna Grelicha e Tara Gould, que detectaram um comportamento anômalo em um cliente, indicando a presença de um novo agente PowerShell. O malware, denominado NBMiner, foi introduzido através de um loader Autolt ofuscado, que se disfarça sob camadas de código para evitar a detecção. O ataque se inicia com a execução do programa ‘charmap.exe’, que verifica se ferramentas de segurança estão ativas antes de se conectar a um pool de mineração. Embora inicialmente cause aumento no consumo de energia e lentidão do sistema, o cryptojacking pode levar a problemas mais sérios, como roubo de dados pessoais. A Darktrace conseguiu mitigar a ameaça ao bloquear a conexão do dispositivo infectado com os servidores dos hackers, destacando a importância de medidas de segurança eficazes.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza um malware bancário transformado em um trojan de acesso remoto chamado MostereRAT. Este ataque emprega técnicas sofisticadas de evasão para assumir o controle total de sistemas comprometidos, roubar dados sensíveis e estender suas funcionalidades por meio de plugins secundários. O malware é desenvolvido em uma linguagem de programação visual chamada Easy Programming Language (EPL), que facilita o uso por pessoas que não dominam o inglês. Os e-mails, direcionados principalmente a usuários japoneses, enganam as vítimas com iscas relacionadas a consultas comerciais, levando-as a baixar um documento malicioso. Uma vez instalado, o MostereRAT pode desativar mecanismos de segurança do Windows, bloquear tráfego de rede de programas de segurança e executar uma variedade de comandos, como capturar teclas e tirar screenshots. Além disso, a pesquisa também destaca uma nova campanha que utiliza técnicas semelhantes para distribuir um ladrão de informações chamado MetaStealer. Essas ameaças representam um risco significativo, especialmente devido à sua capacidade de contornar soluções de segurança e à necessidade de interação manual das vítimas, o que dificulta a detecção e prevenção. A educação dos usuários sobre engenharia social continua sendo crucial para mitigar esses riscos.

Um novo malware para Android, denominado RatOn, evoluiu de uma ferramenta básica para um sofisticado trojan de acesso remoto, capaz de realizar fraudes financeiras. De acordo com um relatório da ThreatFabric, o RatOn combina ataques de sobreposição tradicionais com transferências automáticas de dinheiro e funcionalidades de comunicação por campo próximo (NFC), tornando-se uma ameaça poderosa. O malware visa aplicativos de carteira de criptomoedas, como MetaMask e Trust, e pode realizar transferências automáticas utilizando um aplicativo bancário específico da República Tcheca.

Um novo tipo de malware foi identificado na infraestrutura de honeypots da Akamai Hunt, visando APIs Docker mal configuradas para obter acesso root completo e estabelecer persistência a longo prazo. Observado pela primeira vez em agosto de 2025, essa variante se diferencia de descobertas anteriores ao bloquear o acesso de outros atacantes e incorporar múltiplas ferramentas de infecção, preparando o terreno para uma possível botnet distribuída.

O ataque se inicia com um pedido HTTP POST à API remota do daemon Docker, instruindo-o a criar um contêiner Alpine Linux com o sistema de arquivos do host montado. O contêiner executa um comando shell codificado em Base64 que instala ferramentas como curl e Tor, baixa um script secundário de um serviço oculto Tor e altera a configuração SSH do host para permitir login root e adicionar uma chave pública maliciosa para acesso remoto.

Uma campanha de intrusão sofisticada, iniciada em setembro de 2024, explorou uma vulnerabilidade no instalador do EarthTime da DeskSoft para disseminar diversas famílias de malware e realizar reconhecimento de rede, roubo de credenciais e exfiltração de dados por meio de sessões RDP tuneladas. O ataque começou quando um usuário executou um instalador do EarthTime adulterado, que, ao ser iniciado, ativou uma cadeia de execução anômala que injetou o SectopRAT, um RAT .NET, no processo do MSBuild. Os atacantes estabeleceram persistência ao copiar o payload para a pasta de inicialização e criaram uma conta de administrador local para acesso contínuo. A movimentação lateral foi realizada principalmente por meio de padrões de logon RDP, enquanto um ataque DCSync recuperou credenciais de domínio. A exfiltração de dados foi realizada via FTP em texto claro, expondo credenciais durante a transferência. Este incidente destaca a necessidade crítica de validação robusta de certificados e monitoramento de atividades anômalas em ambientes corporativos.

Um ataque à cadeia de suprimentos de software comprometeu múltiplos pacotes do npm após o roubo da conta de um mantenedor, Josh Junon, em um ataque de phishing. O e-mail fraudulento, que se disfarçou como uma comunicação oficial do npm, induziu Junon a inserir suas credenciais e token de autenticação de dois fatores (2FA) em uma página falsa. Isso permitiu que os atacantes publicassem versões maliciosas de 20 pacotes populares, que juntos somam mais de 2 bilhões de downloads semanais. O malware injetado foi projetado para interceptar solicitações de transações de criptomoedas, substituindo o endereço da carteira de destino por um controlado pelos atacantes. A análise do código malicioso revelou que ele atua como um interceptor baseado em navegador, comprometendo o tráfego de rede e APIs de aplicativos. O incidente destaca a vulnerabilidade dos ecossistemas de pacotes, como o npm, que são alvos frequentes devido à sua popularidade. Especialistas alertam para a necessidade de vigilância constante e fortalecimento das práticas de segurança nas cadeias de suprimentos de software.

Um novo relatório da VirusTotal, da Google, revela uma técnica inovadora utilizada por hackers para ocultar malwares em arquivos de imagem SVG (Scalable Vector Graphics). Embora esses arquivos sejam comumente considerados inofensivos, eles podem conter códigos maliciosos embutidos. A análise identificou uma campanha que utilizou mais de 500 imagens SVG para disseminar malwares, imitando agências governamentais e conseguindo evitar a detecção por antivírus tradicionais. A ameaça foi descoberta após a plataforma Code Insight, que utiliza inteligência artificial para identificar vírus, começar a escanear arquivos SVG. As imagens continham códigos JavaScript disfarçados como páginas HTML, levando os usuários a um site falso do judiciário da Colômbia. Ao interagir com a imagem, o usuário era induzido a baixar um arquivo zip protegido por senha, que, ao ser extraído, revelava um executável malicioso. Essa técnica de ocultação foi tão eficaz que 44 das 523 imagens analisadas passaram despercebidas pelos antivírus. A situação levou à decisão da Microsoft de desabilitar a renderização de SVGs em seu serviço de e-mail Outlook, destacando a gravidade da ameaça.

Um vazamento significativo de dados expôs as operações do grupo cibernético Kimsuky, vinculado à Coreia do Norte, revelando táticas e técnicas avançadas de ataque. O conjunto de dados vazados mostra operações sofisticadas de roubo de credenciais, com foco em redes da Coreia do Sul e Taiwan, integrando infraestrutura chinesa. Entre as descobertas, destaca-se o desenvolvimento de malware avançado e a implementação de um rootkit Linux, que permite acesso persistente e oculto aos sistemas. Além disso, o uso de ferramentas de Reconhecimento Óptico de Caracteres (OCR) para analisar documentos de segurança em coreano sugere tentativas de clonar sistemas de Infraestrutura de Chave Pública (PKI) da Coreia do Sul. O vazamento inclui arquivos de certificados PKI comprometidos, evidenciando a penetração em infraestruturas digitais críticas. O operador Kim demonstra uma evolução preocupante nas operações cibernéticas de nações-estado, utilizando recursos chineses para expandir seu alcance e dificultar a atribuição de ataques. Essa situação representa um risco elevado para a segurança cibernética na região e, potencialmente, para o Brasil, dada a interconexão global das redes.

Uma nova campanha de malware, chamada Atomic macOS Stealer (AMOS), foi descoberta, visando usuários do macOS ao se disfarçar como software pirata. Os atacantes atraem as vítimas para sites maliciosos que oferecem versões ‘crackeadas’ de aplicativos populares. O malware utiliza técnicas enganosas de instalação que exploram as permissões do Gatekeeper do macOS e comandos do Terminal. Uma vez instalado, o AMOS coleta informações sensíveis, como credenciais, cookies de navegador e dados de carteiras de criptomoedas, antes de exfiltrar essas informações para servidores controlados pelos atacantes. As organizações são aconselhadas a reforçar as configurações do Gatekeeper, desativar a instalação de software não assinado e treinar os usuários sobre os riscos associados ao software pirata. A detecção e resposta gerenciadas são essenciais para mitigar os riscos associados a essa ameaça, que representa um sério desafio à segurança, especialmente em ambientes corporativos que utilizam dispositivos Apple.

Autoridades federais dos Estados Unidos estão investigando um sofisticado ataque de malware que visou partes interessadas nas negociações comerciais entre os EUA e a China. Especialistas em cibersegurança associam a operação aos serviços de inteligência chineses. O ataque foi realizado por meio de um e-mail fraudulento que parecia ser enviado pelo representante John Moolenaar, presidente do Comitê Selecionado da Câmara sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês. A mensagem maliciosa foi distribuída em julho para grupos comerciais, escritórios de advocacia e agências governamentais envolvidos nas discussões bilaterais. A campanha de phishing, atribuída ao grupo APT41, utilizou táticas de engenharia social, solicitando que os destinatários revisassem uma legislação proposta em um anexo. A abertura desse anexo poderia ter implantado malware, permitindo acesso extensivo à rede dos atacantes. A investigação, que envolve o FBI e a Polícia do Capitólio dos EUA, foi desencadeada após questionamentos sobre os e-mails suspeitos. A embaixada chinesa em Washington negou envolvimento, afirmando que a China se opõe a todos os tipos de ciberataques. A investigação continua ativa para determinar se os sistemas ou informações sensíveis foram comprometidos.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware sofisticada que utiliza anúncios pagos em motores de busca, como o Google, para disseminar malware a usuários desavisados em busca de ferramentas populares, como o GitHub Desktop. A campanha, que começou a ser observada em dezembro de 2024, tem como alvo empresas de TI e desenvolvimento de software na Europa Ocidental. Os links maliciosos, disfarçados como commits legítimos do GitHub, redirecionam os usuários para um domínio falso, ‘gitpage[.]app’, onde um instalador de software malicioso de 128 MB é baixado. Este instalador é projetado para evitar a detecção por sandboxes de segurança devido ao seu tamanho e utiliza uma rotina de descriptografia que depende de uma unidade de processamento gráfico (GPU), chamada GPUGate. O malware executa scripts em PowerShell com privilégios de administrador, permitindo a adição de exclusões ao Microsoft Defender e a execução de tarefas agendadas para persistência. A análise sugere que os atacantes têm proficiência em russo, indicando uma possível origem russa. Além disso, a campanha está associada ao Atomic macOS Stealer, sugerindo uma abordagem multiplataforma. Este incidente destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger as organizações contra ameaças emergentes.

O artigo explora a origem dos primeiros vírus de computador, destacando o Creeper e o Brain. O Creeper, criado em 1971 por Bob Thomas, foi o primeiro programa autorreplicante, que se movia entre computadores na ARPANET, exibindo a mensagem ‘I’M THE CREEPER: CATCH ME IF YOU CAN!’. Em resposta, surgiu o Reaper, considerado o primeiro antivírus, que tinha a função de eliminar o Creeper. Já em 1986, o Brain, desenvolvido pelos irmãos paquistaneses Basit e Amjad Farooq Alvi, se tornou o primeiro vírus de PC a se disseminar em massa através de disquetes, alterando o nome do volume para ‘© Brain’ e causando lentidão nos drives. Embora ambos os programas não fossem destrutivos, eles marcaram o início de uma longa história de cibersegurança, que evoluiu para ameaças digitais complexas e destrutivas nos dias atuais. O artigo conclui que, enquanto o Creeper foi um experimento inofensivo, o Brain representa a primeira epidemia digital, estabelecendo as bases para a batalha contínua entre malware e antivírus.

Em agosto de 2025, pesquisadores de cibersegurança da Arctic Wolf® descobriram uma campanha sofisticada que utiliza o Google Ads e a infraestrutura do GitHub para implantar o malware GPUGate. Este malware foi projetado para evitar análises padrão e comprometer alvos de TI de alto valor. Os atacantes manipulam os resultados de busca patrocinados do Google para palavras-chave como ‘GitHub Desktop’, levando os usuários a um link de download que parece legítimo, mas redireciona para um repositório GitHub com um link malicioso oculto. Após o download do instalador falso, que imita o verdadeiro GitHub Desktop, a cadeia de infecção começa. O arquivo de 128 MB contém executáveis falsos para confundir ambientes de segurança e utiliza rotinas que só são ativadas em sistemas com GPUs reais, explorando a API OpenCL para um processo de descriptografia baseado em hardware. O malware estabelece persistência através de scripts PowerShell e pode baixar cargas secundárias, como módulos de ransomware e ladrões de informações. A campanha tem como alvo profissionais do setor de TI na Europa Ocidental e destaca a necessidade de novas abordagens de defesa em cibersegurança.

Um novo conjunto de ataques cibernéticos, denominado Operação BarrelFire, foi atribuído a um grupo de ameaças possivelmente de origem russa, conhecido como Noisy Bear. Os ataques visam especificamente a KazMunaiGas, uma empresa do setor de energia do Cazaquistão, e começaram em abril de 2025. Os atacantes utilizaram e-mails de phishing com documentos falsos que simulavam comunicações internas da empresa, incluindo temas como atualizações de políticas e procedimentos de certificação. O vetor inicial da infecção é um arquivo ZIP que contém um atalho do Windows (LNK) que baixa um script malicioso e um programa chamado ‘KazMunayGaz_Viewer’. O ataque culmina na instalação de um implante DLL que permite o controle remoto do sistema comprometido. Além disso, a infraestrutura dos atacantes está hospedada em um provedor de serviços de hospedagem à prova de balas na Rússia, sancionado pelos EUA. Em paralelo, outras campanhas de ciberespionagem têm sido observadas, incluindo ataques a empresas na Polônia e na Ucrânia, utilizando técnicas semelhantes de engenharia social e malware. Esses incidentes destacam a crescente complexidade e a sofisticação das ameaças cibernéticas na região.

Recentemente, quatro pacotes maliciosos foram identificados no registro npm, projetados para roubar credenciais de carteiras de criptomoedas de desenvolvedores Ethereum. Os pacotes, que se disfarçam como utilitários criptográficos legítimos e infraestrutura MEV da Flashbots, exfiltram chaves privadas e frases mnemônicas para um bot do Telegram controlado por atacantes. O primeiro pacote foi carregado em setembro de 2023, e o mais recente em agosto de 2025. Entre os pacotes, o ‘@flashbotts/ethers-provider-bundle’ é o mais perigoso, pois oculta operações maliciosas sob a aparência de compatibilidade com a API da Flashbots, redirecionando transações não assinadas para carteiras controladas pelos atacantes. A presença de comentários em vietnamita no código-fonte sugere que os atacantes podem ser falantes de vietnamita. Essa situação destaca a exploração da confiança dos desenvolvedores em pacotes conhecidos, transformando o desenvolvimento Web3 em um canal direto para bots maliciosos. A confiança depositada na Flashbots, amplamente utilizada por desenvolvedores DeFi, aumenta o risco de adoção desses pacotes comprometidos, resultando em possíveis perdas financeiras significativas.

Um novo método de cibercrime foi identificado na rede social X, onde a inteligência artificial Grok está sendo utilizada para disseminar malwares. A técnica, chamada ‘grokking’, permite que golpistas incluam links maliciosos em postagens pagas, burlando as restrições da plataforma. Os criminosos publicam vídeos de conteúdo adulto com links ocultos nos metadados, que não são verificados pela rede social. Quando um usuário pergunta à IA sobre a origem do vídeo, Grok revela o link, dando uma falsa sensação de segurança. Essa prática não apenas engana os usuários, mas também melhora a visibilidade dos domínios maliciosos, levando as vítimas a redes de publicidade suspeitas e CAPTCHAs falsos que visam roubar dados. A empresa de cibersegurança Guardio Labs identificou centenas de contas envolvidas nessa atividade, com milhares de postagens diárias. O diretor da Guardio, Nati Tal, recomendou que a plataforma implemente verificações mais rigorosas nos metadados das postagens para combater essa ameaça. A situação está sob investigação, com a equipe de engenharia da IA analisando o problema.

Um novo ator de ameaças cibernéticas, conhecido como TAG-150, tem causado estragos desde março de 2025, utilizando uma infraestrutura sofisticada e uma variedade de famílias de malware personalizadas. Pesquisas do Insikt Group revelaram que a estrutura do TAG-150 é dividida em quatro camadas, incluindo servidores de comando e controle (C2) voltados para as vítimas, que gerenciam e implantam malwares como CastleLoader, CastleBot e o recém-descoberto CastleRAT, um trojan de acesso remoto (RAT) com variantes em Python e C. O CastleRAT se destaca pela sua sofisticação técnica, sendo capaz de coletar informações do sistema, executar comandos e evadir detecções. Os ataques geralmente começam com técnicas de phishing, onde vítimas são induzidas a executar comandos PowerShell disfarçados. A taxa de infecção entre as vítimas interativas é alarmante, alcançando 28,7%. Para dificultar a identificação, o TAG-150 utiliza serviços de privacidade e move sua infraestrutura frequentemente. Especialistas recomendam bloquear a infraestrutura identificada e monitorar canais de exfiltração de dados. O grupo deve continuar inovando e desenvolvendo novas famílias de malware, representando uma ameaça crescente para organizações em todo o mundo.

No segundo trimestre de 2025, a Kaspersky identificou 143.000 pacotes de instalação maliciosos direcionados a dispositivos Android e novas variantes de spyware que infiltraram o ecossistema iOS. Embora o número total de incidentes de malware móvel tenha diminuído para 10,71 milhões em comparação ao trimestre anterior, os trojans e malwares bancários continuam a representar os riscos mais severos para os usuários de smartphones. Os trojans bancários, especialmente da família Mamont, foram responsáveis por 42.220 das infecções, destacando-se o Mamont.ev, que teve um aumento significativo de atividade. Além disso, um novo spyware chamado SparkKitty, que coleta imagens e códigos de recuperação de carteiras de criptomoedas, foi detectado em ambas as plataformas. A descoberta de backdoors pré-instalados em dispositivos Android e a utilização de serviços VPN fraudulentos para ocultar funcionalidades de spyware também foram alarmantes. Apesar da queda no número de incidentes, a qualidade e a diversidade das ameaças aumentaram, exigindo vigilância constante na instalação de aplicativos e na integridade da cadeia de suprimentos.

O grupo de cibercriminosos TAG-150, ativo desde março de 2025, está por trás do malware CastleLoader e do trojan de acesso remoto CastleRAT. O CastleRAT, disponível nas versões Python e C, permite coletar informações do sistema, baixar e executar cargas adicionais, além de executar comandos via CMD e PowerShell. A análise da Recorded Future indica que o CastleLoader é utilizado como vetor de acesso inicial para uma variedade de malwares, incluindo trojans de acesso remoto e ladrões de informações. As infecções geralmente ocorrem por meio de ataques de phishing que imitam plataformas legítimas ou repositórios do GitHub. O CastleRAT possui funcionalidades avançadas, como registro de teclas e captura de telas, e utiliza perfis da Steam como servidores de comando e controle. Recentemente, foram identificadas técnicas de evasão, como o uso de prompts de Controle de Conta de Usuário (UAC) para evitar detecções. Além disso, novas famílias de malware, como TinkyWinkey e Inf0s3c Stealer, foram descobertas, aumentando a preocupação com a segurança cibernética. A situação exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

Pesquisadores de segurança da eSentire identificaram uma nova botnet e infostealer chamada NightshadeC2, que utiliza uma técnica inovadora chamada ‘UAC Prompt Bombing’ para contornar as defesas do Windows Defender. Essa técnica força as vítimas a aprovar exclusões no Windows Defender através de prompts repetidos, permitindo que o malware opere sem ser detectado. O NightshadeC2 possui variantes em C e Python, com a versão em C oferecendo uma gama completa de funcionalidades, como execução de comandos, captura de tela, keylogging e roubo de credenciais. A distribuição do malware ocorre por meio de ataques ClickFix, onde os usuários são levados a executar comandos maliciosos após interagir com CAPTCHAs falsificados. A técnica de ‘UAC Prompt Bombing’ não só permite que o malware evite a detecção pelo Windows Defender, mas também dificulta a análise em ambientes de sandbox, tornando-se um desafio significativo para a segurança cibernética. Em resposta, a eSentire implementou conteúdos de detecção e recomendações para mitigar os riscos associados, como desativar o prompt de execução do Windows e realizar treinamentos de conscientização sobre phishing. O caso do NightshadeC2 destaca a rápida evolução das táticas de ataque e a necessidade de estratégias de defesa adaptativas.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware que utiliza arquivos SVG como parte de ataques de phishing, disfarçando-se como o sistema judicial colombiano. Os arquivos SVG são enviados por e-mail e contêm um código JavaScript embutido que decodifica e injeta uma página de phishing em HTML, simulando um portal da Fiscalía General de la Nación. Essa página finge realizar o download de documentos oficiais, enquanto, em segundo plano, baixa um arquivo ZIP não especificado. A análise do VirusTotal revelou 44 arquivos SVG únicos, todos não detectados por motores antivírus devido a técnicas de ofuscação e polimorfismo. Além disso, a campanha também está associada a um malware chamado Atomic macOS Stealer (AMOS), que visa usuários de macOS, especialmente aqueles que buscam versões piratas de software. AMOS é capaz de roubar uma ampla gama de dados, incluindo credenciais e carteiras de criptomoedas. A Apple implementou proteções para bloquear a instalação de arquivos .dmg não notarizados, mas os atacantes estão adaptando suas táticas para contornar essas defesas, utilizando comandos no Terminal para instalar o malware. Essa evolução nas técnicas de ataque destaca a necessidade de estratégias de defesa em profundidade.

O Hook v3, a mais recente variante do trojan bancário para Android, apresenta um conjunto alarmante de funcionalidades, incluindo sobreposições de ransomware, prompts bancários falsos e funções de spyware. Pesquisadores da Zimperium zLabs identificaram que o malware agora suporta 107 comandos remotos, com 38 novos na última atualização, explorando os Serviços de Acessibilidade do Android. Essa evolução sugere uma transição de fraudes bancárias específicas para uma plataforma de ameaças mais versátil, aumentando o risco para usuários e instituições financeiras. Entre as novas táticas, destacam-se sobreposições que imitam telas de desbloqueio e pagamentos, como o Google Pay, que induzem as vítimas a fornecer dados sensíveis. Além disso, a capacidade de streaming em tempo real permite que os atacantes monitorem as atividades dos dispositivos das vítimas. O Hook v3 se espalha por meio de sites de phishing e APKs maliciosos hospedados no GitHub, o que facilita sua disseminação. A combinação de roubo passivo e monitoramento ativo torna essa ameaça particularmente intrusiva e preocupante para a segurança cibernética.

Pesquisadores de cibersegurança da ESET revelaram um novo grupo de ameaças, denominado GhostRedirector, que comprometeu pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã. Os ataques, que começaram em agosto de 2024, utilizam uma backdoor em C++ chamada Rungan e um módulo do Internet Information Services (IIS) chamado Gamshen. O objetivo do Gamshen é manipular resultados de busca, promovendo fraudes de SEO, enquanto a Rungan permite a execução de comandos em servidores comprometidos. O grupo também utiliza técnicas de injeção SQL para obter acesso inicial e ferramentas como PowerShell para implantar malware adicional. A ESET sugere que o GhostRedirector está alinhado a atores de ameaças da China, com indícios de que as fraudes de SEO estão direcionadas a sites de jogos de azar. A manipulação de SEO pode prejudicar a reputação de sites legítimos, associando-os a práticas desonestas. O impacto é significativo, afetando setores variados, como educação, saúde e tecnologia, e requer atenção urgente das equipes de segurança cibernética.

O grupo de hackers patrocinado pelo Estado russo, conhecido como APT28, foi associado a um novo backdoor no Microsoft Outlook, denominado NotDoor, que tem como alvo diversas empresas em países membros da OTAN. Segundo a equipe de inteligência de ameaças LAB52, o NotDoor é um macro VBA que monitora e-mails recebidos em busca de uma palavra-chave específica. Ao detectar um e-mail com essa palavra, o malware permite que o atacante exfiltre dados, faça upload de arquivos e execute comandos no computador da vítima.

Pesquisadores de cibersegurança identificaram dois novos pacotes maliciosos no registro npm que utilizam contratos inteligentes da blockchain Ethereum para executar ações prejudiciais em sistemas comprometidos. Os pacotes, chamados ‘colortoolsv2’ e ‘mimelib2’, foram carregados em julho de 2025 e já não estão mais disponíveis para download. Segundo a pesquisadora Lucija Valentić, da ReversingLabs, esses pacotes ocultavam comandos maliciosos que instalavam malware downloader em sistemas afetados. Embora os pacotes em si não tentassem disfarçar sua funcionalidade maliciosa, os projetos do GitHub que os importaram foram elaborados para parecerem legítimos. A investigação revelou que esses pacotes estavam associados a uma rede de repositórios GitHub que alegavam ser bots de negociação de criptomoedas, visando principalmente desenvolvedores e usuários de criptomoedas. A técnica de usar contratos inteligentes para ocultar URLs de payloads é uma nova abordagem que os atacantes estão adotando para evitar a detecção. A ReversingLabs alerta que é crucial que os desenvolvedores avaliem cuidadosamente cada biblioteca antes de integrá-la em seus projetos, considerando não apenas os números de downloads e mantenedores, mas também a credibilidade dos desenvolvedores por trás dos pacotes.

Recentemente, o pacote npm ’nx’, amplamente utilizado para gerenciamento de código, foi alvo de um ataque cibernético que comprometeu a segurança de cerca de 100 mil contas. Os hackers exploraram uma vulnerabilidade na cadeia logística do pacote, permitindo a publicação de versões maliciosas que escaneavam sistemas de arquivos em busca de credenciais. Essas informações eram então enviadas para um repositório no GitHub sob a conta da vítima. O ataque afetou principalmente usuários de sistemas Linux e macOS, e as versões comprometidas foram rapidamente removidas do registro. A vulnerabilidade foi introduzida em um workflow do GitHub em 21 de agosto e, apesar de ter sido revertida, os criminosos conseguiram explorar um branch desatualizado. Pesquisadores de segurança alertam que este é o primeiro incidente conhecido a utilizar assistentes de desenvolvimento com IA, como Claude Code e Google Gemini CLI, para burlar a segurança. Os usuários afetados são aconselhados a alterar suas credenciais e verificar arquivos de configuração em busca de instruções maliciosas.

Especialistas em cibersegurança, como os da ThreatFabric, alertam sobre a evolução dos malwares para Android, que agora utilizam aplicativos do tipo dropper para instalar não apenas trojans bancários, mas também ladrões de SMS e spywares básicos. Apesar das recentes proteções implementadas pelo Google em mercados como Brasil, Cingapura, Índia e Tailândia, que visam impedir a instalação de aplicativos suspeitos fora da Play Store, os hackers estão se adaptando. Eles criam droppers que evitam a detecção ao baixar malwares após a instalação do aplicativo, contornando assim o Play Protect, que verifica os aplicativos antes de serem executados. Uma nova tática utilizada pelos criminosos é a exibição de telas de atualização que parecem inofensivas, mas que na verdade solicitam permissões para instalar malwares. Isso significa que, mesmo com as proteções, o usuário pode acabar aceitando a instalação de vírus, especialmente se ignorar os avisos do Google. O Google afirma que continua a melhorar suas proteções e que aplicativos maliciosos são constantemente removidos da Play Store. No entanto, a vulnerabilidade humana permanece um fator crítico na segurança dos dispositivos Android.

Um grupo de ciberespionagem vinculado ao Irã foi identificado como responsável por uma campanha de spear-phishing coordenada, visando embaixadas e consulados na Europa e em outras regiões do mundo. A empresa de cibersegurança israelense Dream atribuiu a atividade a operadores alinhados ao Irã, conectados a um esforço mais amplo de espionagem cibernética. Os ataques utilizaram e-mails que se disfarçavam como comunicações diplomáticas legítimas, explorando tensões geopolíticas entre o Irã e Israel. Os e-mails continham documentos do Microsoft Word maliciosos que, ao serem abertos, solicitavam aos destinatários que habilitassem macros, permitindo a execução de um código VBA que implantava um malware. Os alvos incluíram embaixadas, consulados e organizações internacionais em várias partes do mundo, com foco particular na Europa e na África. A campanha foi realizada a partir de 104 endereços de e-mail comprometidos, incluindo um que pertencia ao Ministério das Relações Exteriores de Omã. O objetivo final dos ataques era estabelecer persistência no sistema da vítima, contatar um servidor de comando e controle e coletar informações do sistema. A ClearSky, outra empresa de cibersegurança, também observou que técnicas semelhantes foram usadas em ataques anteriores, sugerindo uma continuidade nas táticas dos atores de ameaça iranianos.

Em agosto de 2025, a empresa de cibersegurança Cyfirma identificou o Inf0s3c Stealer, um malware baseado em Python que visa sistemas Windows e exfiltra dados através do Discord. O malware, um executável portátil de 64 bits, utiliza técnicas de empacotamento duplo com UPX e PyInstaller, dificultando a detecção por assinaturas e a engenharia reversa. Ao ser executado, ele coleta informações do sistema, como detalhes de hardware e parâmetros de rede, e realiza capturas de tela e imagens da webcam, se autorizado. A fase final do ataque foca no roubo de credenciais, extraindo dados de perfis de navegadores e senhas de Wi-Fi. Os dados coletados são organizados em pastas e enviados para um webhook malicioso no Discord, disfarçado em tráfego HTTPS legítimo. Para persistência, o malware se copia na pasta de Inicialização do Windows e pode desativar serviços antivírus. Para mitigar essa ameaça, recomenda-se a implementação de proteção de endpoint baseada em comportamento, filtragem de saída rigorosa e monitoramento de atividades suspeitas. A situação exige atenção, especialmente para organizações que utilizam o Discord e outras plataformas afetadas.

Pesquisadores de cibersegurança revelaram um novo backdoor chamado MystRodX, que se destaca por suas características furtivas e flexíveis, permitindo a captura de dados sensíveis de sistemas comprometidos. Desenvolvido em C++, o MystRodX, também conhecido como ChronosRAT, possui funcionalidades como gerenciamento de arquivos, redirecionamento de portas e shell reverso. A sua capacidade de se ocultar é aprimorada pelo uso de múltiplos níveis de criptografia, enquanto a flexibilidade permite a escolha entre diferentes protocolos de comunicação e métodos de criptografia para proteger o tráfego de rede.

O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi associado a uma campanha de engenharia social que distribui três tipos diferentes de malware multiplataforma: PondRAT, ThemeForestRAT e RemotePE. A campanha, observada pela Fox-IT do NCC Group em 2024, visou uma organização do setor de finanças descentralizadas (DeFi), resultando na violação do sistema de um funcionário. O ataque começou com o ator se passando por um empregado de uma empresa de negociação no Telegram e utilizando sites falsos que imitam serviços como Calendly e Picktime para agendar uma reunião com a vítima. Embora o vetor de acesso inicial não seja conhecido, o acesso foi utilizado para implantar um loader chamado PerfhLoader, que, por sua vez, instala o PondRAT. Este malware permite ao operador ler e escrever arquivos, iniciar processos e executar shellcode. O PondRAT foi utilizado em conjunto com o ThemeForestRAT, que possui funcionalidades mais avançadas e opera de forma mais discreta. O ataque também envolveu o uso de um exploit zero-day no navegador Chrome, evidenciando a sofisticação da operação. O RemotePE, um RAT mais avançado, é reservado para alvos de alto valor e é carregado por um loader específico. A combinação de ferramentas e a abordagem furtiva do ataque indicam um nível elevado de planejamento e execução por parte do grupo.

O Google anunciou uma nova medida de segurança para a Play Store, chamada Verificação de Desenvolvedor, que entrará em vigor em 2026. Essa iniciativa visa impedir que aplicativos de terceiros, especialmente aqueles de desenvolvedores anônimos, sejam publicados na loja, reduzindo assim o risco de infecções por malware. Desde agosto de 2023, os desenvolvedores já precisam fornecer um número D-U-N-S para publicar aplicativos, o que já ajudou a diminuir a quantidade de malwares. A nova verificação exigirá que todos os aplicativos instalados em dispositivos Android venham de desenvolvedores com identidade verificada pelo Google. A medida é uma resposta ao aumento de malwares, que, segundo o Google, são 50 vezes mais comuns em aplicativos baixados da internet do que na Play Store. A partir de setembro de 2026, a verificação de identidade será obrigatória em países como Brasil, Indonésia, Cingapura e Tailândia, e se expandirá globalmente em 2027. Dispositivos Android certificados, que passaram pelo Teste de Compatibilidade da Google, serão os únicos a permitir a instalação de aplicativos verificados, enquanto dispositivos não certificados continuarão a operar com APKs de desenvolvedores anônimos.