Spyware

O Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC) retirou três indivíduos associados ao Consórcio Intellexa, responsável pelo spyware comercial Predator, da lista de nacionais designados. Os indivíduos são Merom Harpaz, Andrea Nicola Constantino Hermes Gambazzi e Sara Aleksandra Fayssal Hamou. Harpaz e Gambazzi foram sancionados em 2024 por desenvolver e distribuir o Predator, que é conhecido por sua capacidade de operar de forma furtiva e coletar dados sensíveis de dispositivos infectados. O motivo da remoção dos nomes da lista não foi esclarecido. O Predator é frequentemente utilizado em ataques direcionados a jornalistas, ativistas e políticos, levantando preocupações sobre a segurança e os direitos humanos. Recentemente, um relatório da Anistia Internacional destacou um ataque a um advogado de direitos humanos no Paquistão via WhatsApp, utilizando o Predator. A crescente proliferação de spyware comercial, como o Predator, representa um risco significativo à segurança nacional dos EUA e de seus cidadãos, conforme alertado pelo OFAC, que enfatiza a necessidade de regulamentações para o uso responsável dessas tecnologias.

Um novo spyware chamado Predator, desenvolvido pela empresa de vigilância Intellexa, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso utiliza um mecanismo de ‘clique zero’, permitindo que dispositivos sejam infectados apenas pela visualização de anúncios maliciosos. O spyware, identificado como Aladdin, foi descoberto em uma investigação que revelou como empresas ao redor do mundo serviam como fachada para a disseminação do malware. Os anúncios maliciosos são exibidos em sites e aplicativos confiáveis, disfarçados entre propagandas legítimas. A técnica utilizada pelo Aladdin força a exibição de anúncios direcionados a alvos específicos, identificados por seus endereços IP, através de uma Plataforma de Demanda (DSP) que automatiza a compra de publicidade digital. Isso levanta um alerta significativo, pois o usuário não precisa interagir com o anúncio para ser afetado; a simples visualização é suficiente para comprometer o dispositivo. Até o momento, não há informações detalhadas sobre como o spyware compromete os sistemas, mas especula-se que isso possa ocorrer por meio de redirecionamentos para servidores de exploração da Intellexa.

Um advogado de direitos humanos da província de Balochistan, no Paquistão, foi alvo de um ataque de spyware chamado Predator, desenvolvido pela empresa Intellexa. Este é o primeiro caso documentado de um membro da sociedade civil paquistanesa sendo atacado por essa ferramenta, que é capaz de coletar dados sensíveis de dispositivos Android e iOS sem o conhecimento do usuário. O ataque foi realizado através de um link malicioso enviado via WhatsApp, que, ao ser clicado, explorou vulnerabilidades conhecidas, como CVE-2025-48543 e CVE-2023-41993, para instalar o spyware. O Predator é semelhante ao Pegasus, da NSO Group, e é comercializado sob diferentes nomes, incluindo Helios e Nova. A Intellexa foi sancionada pelos EUA por suas práticas que comprometem as liberdades civis. O relatório da Anistia Internacional, que inclui colaborações com veículos de imprensa, revela que a empresa pode ter acesso remoto aos sistemas de vigilância de seus clientes, levantando preocupações sobre a responsabilidade em casos de abuso de direitos humanos. O uso de vetores de ataque sofisticados, como injeções de rede e anúncios maliciosos, destaca a crescente demanda por ferramentas de spyware em várias regiões, incluindo a África.

Um ator de ameaças conhecido como ShadyPanda está vinculado a uma campanha de spyware que se estende por sete anos, envolvendo extensões de navegador que acumulam mais de 4,3 milhões de instalações. De acordo com um relatório da Koi Security, cinco dessas extensões, inicialmente legítimas, foram alteradas para executar código malicioso em 2024, resultando em 300 mil instalações. Essas extensões agora realizam execução remota de código, monitorando visitas a sites, exfiltrando histórico de navegação e coletando impressões digitais do navegador. Uma das extensões, Clean Master, foi verificada pelo Google, o que permitiu que os atacantes expandissem sua base de usuários e emitisse atualizações maliciosas sem levantar suspeitas. Além disso, outras extensões coletam informações detalhadas sobre URLs visitados e interações do usuário, enviando dados para servidores na China. O ataque evoluiu de injeções de código a controle ativo do navegador, redirecionando consultas de pesquisa e coletando cookies. A Koi Security alerta que o mecanismo de atualização automática, destinado a proteger os usuários, se tornou um vetor de ataque. Os usuários são aconselhados a remover essas extensões imediatamente e a alterar suas credenciais por precaução.

A Agência de Cibersegurança e Infraestrutura de Segurança dos EUA (CISA) emitiu um alerta sobre o aumento de ataques cibernéticos utilizando spyware e trojans de acesso remoto (RAT) direcionados a usuários de aplicativos de mensagens como WhatsApp e Signal. Os cibercriminosos empregam técnicas de engenharia social para instalar spyware nos dispositivos, permitindo acesso não autorizado e o roubo de dados sensíveis, incluindo informações pessoais e financeiras.

Desde o início do ano, diversas campanhas de spyware foram identificadas, destacando-se cinco por sua escala e sofisticação. Entre elas, uma campanha que atacou o Signal, atribuída a hackers russos, e outra que utilizou os spywares ProSpy e ToSpy para invadir dispositivos no Oriente Médio. Além disso, uma campanha chamada ClayRat visou usuários na Rússia através de phishing, enquanto outra explorou falhas de segurança em dispositivos iOS e Samsung para coletar dados de usuários do WhatsApp.

Pesquisadores da Certo Software identificaram um novo spyware para Android chamado RadzaRat, que também atua como um trojan de acesso remoto (RAT), permitindo que hackers tenham controle total sobre os dispositivos infectados. Disfarçado como um gerenciador de arquivos, o aplicativo malicioso não é detectado por nenhum dos 66 antivírus testados, o que o torna extremamente perigoso. O RadzaRat é capaz de registrar tudo que o usuário digita (keylogging), possibilitando o roubo de informações sensíveis, como senhas e dados de cartão de crédito.

O uso crescente de softwares maliciosos, como spywares e stalkerwares, em celulares de crianças e adolescentes no Brasil é motivo de preocupação. Um estudo da ESET, em parceria com a iniciativa Digipais, revelou que mais de 70% dos pais brasileiros já discutiram cibersegurança com seus filhos, mas a ameaça persiste. Esses aplicativos podem ser instalados silenciosamente, permitindo que cibercriminosos acessem câmeras, microfones e dados pessoais sem que os usuários percebam. Spywares visam roubar informações sensíveis, enquanto stalkerwares são usados para vigilância, muitas vezes disfarçados como aplicativos legítimos. Sinais de alerta incluem superaquecimento do dispositivo, consumo excessivo de bateria e a presença de aplicativos desconhecidos. Para mitigar esses riscos, especialistas recomendam o uso de antivírus confiáveis e a realização de varreduras regulares. Além disso, é crucial que os pais mantenham um diálogo aberto com os filhos sobre segurança digital, promovendo a confiança e o entendimento sobre o uso de ferramentas de monitoramento. A educação em cibersegurança deve ser uma prioridade, considerando o uso precoce de dispositivos móveis por crianças.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre o uso crescente de spyware e trojans de acesso remoto (RATs) por atores maliciosos que visam usuários de aplicativos de mensagens móveis. Esses ataques utilizam técnicas avançadas de engenharia social e direcionamento para comprometer dispositivos móveis, permitindo o acesso não autorizado a aplicativos de mensagens e a instalação de cargas maliciosas adicionais. Entre os exemplos citados estão campanhas que visam o aplicativo Signal, além de spyware para Android que se disfarça como aplicativos populares, como WhatsApp e TikTok, para roubar dados. A CISA recomenda que indivíduos em risco adotem práticas de segurança, como o uso de comunicações criptografadas de ponta a ponta, autenticação resistente a phishing e a atualização periódica de software. O alerta destaca a importância de proteger informações sensíveis, especialmente para indivíduos de alto valor, como oficiais do governo e organizações da sociedade civil, em regiões como os EUA, Oriente Médio e Europa.

A Samsung enfrenta críticas globais após alegações de que alguns modelos de celulares Galaxy, como as linhas A, M e F, vêm com um aplicativo chamado AppCloud, desenvolvido pela ironSource, uma empresa israelense. Este aplicativo, que não pode ser desinstalado por métodos convencionais, levanta preocupações sobre privacidade, pois supostamente coleta dados sensíveis dos usuários, como endereço IP, identificadores de dispositivos e localização, sem consentimento. O AppCloud é descrito como um serviço de recomendações que sugere aplicativos de terceiros, mas sua natureza irremovível e a dificuldade em acessar sua política de privacidade aumentam a desconfiança. A ironSource já foi acusada de operar plataformas de adware, o que intensifica a indignação dos consumidores. Até o momento, a Samsung não se pronunciou sobre a situação, que ocorre em um contexto de crescente tensão geopolítica entre Israel e Palestina, o que pode agravar as preocupações sobre a segurança e privacidade dos dados dos usuários.

O uso de spywares por governos para monitorar indivíduos, como jornalistas e ativistas, tem se tornado uma prática comum em diversas nações. Embora esses softwares sejam frequentemente justificados como ferramentas de combate ao crime e ao terrorismo, evidências apontam que muitos alvos são inocentes. Um exemplo recente é o caso de um consultor político italiano que foi espionado pelo spyware Paragon. Especialistas, como Eva Galperin da Electronic Frontier Foundation, destacam que a facilidade de uso desses softwares permite abusos, uma vez que agentes governamentais podem simplesmente inserir um número de telefone e iniciar a vigilância. Países como Arábia Saudita, Emirados Árabes Unidos, Itália e Marrocos têm sido citados por direcionar suas ferramentas de espionagem contra jornalistas e opositores. Apesar de alguns avanços, como a Paragon rompendo laços com o governo italiano, a falta de regulamentação e transparência continua a ser um desafio. A situação exige uma abordagem global para mitigar os riscos associados ao uso de spywares, especialmente em contextos onde os direitos humanos são frequentemente violados.

Uma vulnerabilidade zero-day na biblioteca de processamento de imagem do sistema Android da Samsung permitiu que hackers instalassem spywares em celulares da linha Galaxy, especialmente no Oriente Médio. O malware, denominado Landfall, foi identificado pela Unit 42 da Palo Alto Networks e é capaz de gravar conversas, monitorar a localização, tirar fotos e roubar contatos. A falha, classificada como CVE-2025-21042, foi explorada entre meados de 2024 e abril de 2025, quando a Samsung lançou um patch para corrigir o problema. O spyware era disseminado através de negativos digitais (DNG) enviados pelo WhatsApp, atingindo principalmente usuários no Iraque, Irã, Marrocos e Turquia. A descoberta do Landfall sugere uma possível coordenação com ataques semelhantes em dispositivos iOS, indicando que agentes privados ou governamentais podem estar por trás das atividades maliciosas. A situação é alarmante, pois o malware é otimizado para dispositivos de alta gama da Samsung, como os modelos Galaxy S22, S23 e S24, e possui capacidades avançadas de reconhecimento e evasão.

Um novo ataque cibernético está ameaçando dispositivos da Samsung, especialmente os modelos Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4, devido a uma vulnerabilidade crítica identificada como CVE-2025-21042. Essa falha, com uma classificação de severidade de 9.8/10, permite a execução remota de código malicioso, possibilitando que atacantes implantem o spyware ‘LandFall’ através de arquivos de imagem malformados enviados pelo WhatsApp. O spyware é capaz de roubar arquivos, gravar áudio, rastrear localização e acessar mensagens e contatos. Os alvos principais desse ataque estão localizados no Oriente Médio, com o grupo Stealth Falcon, baseado nos Emirados Árabes Unidos, sendo o suspeito por trás da campanha. Especialistas da Palo Alto Networks recomendam que os usuários da Samsung mantenham seus dispositivos atualizados e fiquem atentos a mensagens com anexos suspeitos. A falha foi encontrada na biblioteca libimagecodec.quram.so, parte do framework de processamento de imagens dos dispositivos Android da Samsung, e ainda não há informações sobre um patch disponível para corrigir essa vulnerabilidade.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

Uma falha de segurança recentemente corrigida em dispositivos Android da Samsung foi explorada como um zero-day para implantar um spyware chamado LANDFALL em ataques direcionados no Oriente Médio. A vulnerabilidade, identificada como CVE-2025-21042, possui uma pontuação CVSS de 8.8 e permite que atacantes remotos executem código arbitrário. A falha foi corrigida pela Samsung em abril de 2025, após relatos de ataques em andamento. Os alvos estão localizados em países como Iraque, Irã, Turquia e Marrocos. O spyware LANDFALL, uma ferramenta de espionagem avançada, coleta dados sensíveis, como gravações de microfone, localização, fotos, contatos e mensagens. Os ataques foram realizados através do envio de imagens maliciosas via WhatsApp, utilizando arquivos DNG. Além disso, outra vulnerabilidade na mesma biblioteca foi identificada, mas não foi utilizada na campanha LANDFALL. A análise sugere que o spyware se comunica com um servidor de comando e controle para receber novas instruções. A origem do spyware ainda é desconhecida, mas há indícios de conexão com o grupo Stealth Falcon. Este caso destaca a complexidade das ameaças cibernéticas e a necessidade de vigilância contínua.

Um relatório da Zscaler revelou que, entre junho de 2024 e maio de 2025, mais de 40 milhões de downloads de malwares foram realizados na Google Play Store, a loja de aplicativos para dispositivos Android. O estudo apontou um aumento de 67% nos malwares direcionados à plataforma, com destaque para spywares e trojans bancários. Os hackers estão mudando suas táticas, abandonando fraudes tradicionais com cartões de crédito em favor de métodos como phishing e smishing, aproveitando-se da engenharia social em vez de ataques diretos. Os malwares bancários, que realizaram 4,89 milhões de transações fraudulentas, mostraram um crescimento moderado de 3% em comparação ao ano anterior. A pesquisa identificou 239 tipos de malwares na loja, com os adwares representando 69% das detecções. Os países mais afetados foram Índia, Estados Unidos e Canadá, com um crescimento alarmante de ataques na Itália e Israel. A Zscaler recomenda que os usuários baixem aplicativos apenas de fontes confiáveis e mantenham seus dispositivos atualizados, evitando permissões excessivas a aplicativos desconhecidos.

Pesquisadores da ESET identificaram 12 aplicativos maliciosos para Android que gravam conversas e chamadas dos usuários sem o seu conhecimento. Esses aplicativos, disfarçados de plataformas de mensagens, são utilizados por cibercriminosos para instalar um spyware chamado VajraSpy nos dispositivos. O ataque começa com uma abordagem que cria uma falsa sensação de confiança, levando a vítima a instalar o aplicativo malicioso. Uma vez instalado, o VajraSpy tem acesso a informações confidenciais, como contatos, mensagens e localização, além de poder gravar áudios e chamadas. Embora alguns desses aplicativos tenham sido removidos da Google Play Store, outros ainda estão disponíveis, exigindo que os usuários tenham cautela ao baixar novos aplicativos. Para se proteger, recomenda-se não clicar em links suspeitos, verificar a reputação dos aplicativos e estar atento a sinais de infecção, como solicitações inesperadas de acesso ao microfone e consumo excessivo de bateria. A instalação de um antivírus também é uma medida recomendada para detectar atividades suspeitas em tempo real.

A atualização do sistema operacional iOS 26 da Apple introduziu uma mudança significativa no funcionamento do arquivo shutdown.log, que pode ter consequências graves para a segurança dos dispositivos. Este arquivo, que anteriormente registrava atividades do sistema durante o desligamento, agora é sobrescrito a cada reinicialização, eliminando evidências cruciais de infecções por malwares sofisticados como Pegasus e Predator. Essa alteração pode ser vista como uma falha de design ou um bug, mas suas implicações são profundas, especialmente para usuários que podem ter sido infectados sem saber. Antes da atualização, pesquisadores de segurança podiam identificar indicadores de comprometimento através de anomalias nesse log, mas agora, com a remoção automática de dados históricos, dispositivos comprometidos se tornam indistinguíveis de sistemas limpos. A situação é alarmante, pois ataques de spyware continuam a atingir figuras de destaque globalmente. Para mitigar riscos, usuários são aconselhados a extrair e preservar dados do sysdiagnose antes de atualizar para o iOS 26, garantindo que informações sobre possíveis infecções sejam mantidas.

Pesquisadores da Kaspersky revelaram uma campanha de ciberespionagem sofisticada, chamada Operação ForumTroll, que utilizou uma vulnerabilidade zero-day do Chrome, identificada como CVE-2025-2783. Essa vulnerabilidade permitiu que atacantes contornassem as proteções de segurança do navegador ao explorar uma falha no sistema operacional Windows. A campanha visou instituições russas, incluindo meios de comunicação, universidades e organizações governamentais, através de e-mails de phishing disfarçados de convites para um fórum científico. O ataque foi acionado simplesmente ao clicar em um link malicioso, sem necessidade de interação adicional do usuário. A Kaspersky notificou o Google, que lançou patches para corrigir a falha. Além disso, a investigação revelou conexões com o spyware comercial Dante, desenvolvido pela Memento Labs, que possui capacidades avançadas de espionagem, como keylogging e execução remota de comandos. Essa situação destaca a importância de monitorar e corrigir vulnerabilidades em softwares amplamente utilizados, especialmente em um cenário de crescente ciberespionagem.

Uma pesquisa da Zimperium revelou uma nova campanha de spyware chamada ClayRat, que se disfarça de aplicativos populares como WhatsApp, TikTok e YouTube para infectar dispositivos Android. O malware, que já afetou mais de 600 usuários, principalmente na Rússia, é disseminado por meio de canais do Telegram e sites maliciosos que imitam serviços legítimos. Os hackers utilizam técnicas de phishing para criar domínios que se assemelham aos originais, levando os usuários a baixar APKs sem o seu conhecimento. Uma vez instalado, o spyware consegue acessar SMS, histórico de chamadas, tirar fotos e até fazer ligações. O malware se comunica com um servidor de comando e controle de forma encriptada, coletando informações do dispositivo e enviando-as aos cibercriminosos. A Zimperium já notificou o Google, que implementou bloqueios no Play Protect, mas a empresa alerta que a campanha é massiva e recomenda cautela ao instalar aplicativos fora da loja oficial. Os usuários devem evitar burlar as configurações de segurança do Android e sempre optar por fontes confiáveis para downloads.

ClayRat é uma nova campanha de spyware para Android que tem ganhado destaque, especialmente entre usuários de língua russa. Nos últimos três meses, pesquisadores da zLabs identificaram mais de 600 amostras únicas e 50 droppers associados a essa ameaça. O ClayRat utiliza engenharia social e sites de phishing para enganar as vítimas, fazendo-as instalar APKs maliciosos disfarçados de aplicativos legítimos como WhatsApp e Google Photos.

Os atacantes registram domínios semelhantes aos oficiais e criam páginas de destino que redirecionam para canais do Telegram, onde comentários manipulados e contagens de downloads inflacionadas ajudam a reduzir a desconfiança. Uma vez instalado, o spyware obtém acesso a mensagens SMS, registros de chamadas e informações do dispositivo, além de capturar fotos pela câmera frontal e enviar mensagens SMS sem o consentimento do usuário.

Uma nova campanha de spyware chamada ClayRat tem se espalhado rapidamente, visando usuários de Android na Rússia. Os atacantes utilizam canais do Telegram e sites de phishing que imitam aplicativos populares como WhatsApp, Google Photos, TikTok e YouTube para enganar as vítimas e induzi-las a instalar o malware. Uma vez ativo, o ClayRat pode exfiltrar mensagens SMS, registros de chamadas, notificações e informações do dispositivo, além de tirar fotos com a câmera frontal e enviar mensagens SMS ou fazer chamadas diretamente do aparelho da vítima.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

A Equipe de Resposta de Emergência Computacional da França (CERT-FR) e a Apple emitiram um alerta de segurança para usuários de iPhone no país, informando sobre uma nova campanha de spyware. O comunicado, divulgado em 11 de setembro, indica que pelo menos um dispositivo vinculado a uma conta iCloud foi comprometido. Os usuários que receberam a notificação devem entrar em contato com a CERT-FR imediatamente, pois pode haver um atraso significativo entre a invasão e a notificação. A Apple tem se mostrado proativa na luta contra spywares, notificando clientes em várias ocasiões ao longo do ano. Além disso, a CERT-FR forneceu recomendações para evitar golpes de phishing, como habilitar a autenticação em duas etapas e manter as atualizações automáticas ativadas. Os usuários também foram aconselhados a não alterar seus dispositivos de forma alguma, a fim de não interferir nas investigações em andamento.

A Apple notificou usuários na França sobre uma campanha de spyware que visa dispositivos vinculados a contas do iCloud. O alerta foi emitido em 3 de setembro de 2025, sendo a quarta notificação do ano, com alertas anteriores em março, abril e junho. O CERT-FR (Computer Emergency Response Team da França) informou que esses ataques complexos têm como alvo indivíduos de destaque, como jornalistas, advogados e políticos. A situação se agrava após a descoberta de uma falha de segurança no WhatsApp que foi combinada com um bug no iOS, permitindo ataques de zero-click. A Apple introduziu uma nova funcionalidade de segurança chamada Memory Integrity Enforcement (MIE) para combater vulnerabilidades de corrupção de memória. Um relatório do Atlantic Council revelou um aumento significativo no número de investidores dos EUA em tecnologias de spyware, com 31 novos investidores em um ano, superando outros países como Israel e Itália. O relatório destaca a crescente importância de corretores e vendedores no mercado de spyware, que agora detêm uma fatia de mercado maior do que antes.

A Apple emitiu notificações de alta confiança alertando usuários sobre ataques de spyware mercenário, que utilizam recursos estatais e ferramentas de vigilância sofisticadas para comprometer dispositivos individuais. Esses ataques são direcionados a um pequeno grupo de alvos específicos, como jornalistas, ativistas e figuras políticas, e se distinguem por seu alto custo e evolução rápida. A Apple já notificou usuários em mais de 150 países desde 2021, utilizando banners de alerta e comunicações via e-mail e iMessage. As notificações incluem recomendações de segurança, como ativar o Modo de Bloqueio, que limita severamente a funcionalidade do dispositivo para mitigar vetores de ataque. A Apple enfatiza que suas comunicações nunca solicitarão senhas ou links, preservando a integridade do alerta. Para assistência adicional, a Apple recomenda o uso da Digital Security Helpline da Access Now, que oferece suporte de segurança em emergências. Mesmo usuários que não receberam alertas, mas suspeitam de serem alvos, são aconselhados a ativar o Modo de Bloqueio. Além disso, todos os usuários da Apple devem manter defesas básicas robustas, como atualizações de software e autenticação de dois fatores.

Um recente incidente de cibersegurança levantou preocupações sobre a liberdade de imprensa no Quênia, após a descoberta de que o spyware FlexiSPY foi instalado secretamente em dispositivos de cineastas enquanto estavam sob custódia policial. A análise forense realizada pelo Citizen Lab da Universidade de Toronto revelou que os dispositivos, confiscados durante a prisão de quatro cineastas em 2 de maio de 2025, foram monitorados sem o seu conhecimento. Os cineastas, acusados de publicar informações falsas relacionadas a um documentário da BBC, foram liberados sem acusações, mas seus dispositivos permaneceram sob controle policial por 68 dias. O FlexiSPY é um software de vigilância comercial que permite acesso a mensagens, e-mails, redes sociais, gravação de chamadas e até mesmo ativação de microfones. A instalação do spyware foi considerada uma violação grave da privacidade e um ataque à liberdade de expressão, levando a Comissão para Proteger Jornalistas a exigir explicações das autoridades quenianas. O caso continua em andamento nos tribunais do Quênia, refletindo as crescentes ameaças à segurança digital enfrentadas por jornalistas em todo o mundo.

Pesquisadores da Bitdefender alertam sobre uma nova campanha de cibercriminosos que utiliza anúncios falsos no Facebook e Telegram para disseminar o spyware Brokewell em dispositivos Android. O malware, que se disfarça como aplicativos legítimos como o TradingView, tem como alvo usuários específicos na União Europeia, prometendo versões gratuitas de aplicativos premium e itens de alto valor. Desde sua aparição em abril de 2024, o Brokewell evoluiu para um spyware e um trojan de acesso remoto (RAT), permitindo que os atacantes obtenham permissões administrativas e controlem completamente os dispositivos infectados. Uma vez instalado, o malware pode roubar criptomoedas, contornar autenticações de dois fatores e monitorar atividades sensíveis, como mensagens de texto e gravações de áudio e vídeo. Para se proteger, os especialistas recomendam evitar clicar em anúncios de redes sociais, verificar a autenticidade dos sites acessados e revisar as permissões solicitadas pelos aplicativos. A situação é alarmante, especialmente considerando a centralização das finanças pessoais em dispositivos móveis.

O WhatsApp anunciou a correção de uma vulnerabilidade de segurança em seus aplicativos para iOS e macOS, identificada como CVE-2025-55177, com uma pontuação CVSS de 8.0, indicando um risco elevado. Essa falha está relacionada à autorização insuficiente de mensagens de sincronização de dispositivos vinculados, o que poderia permitir que um usuário não autorizado processasse conteúdo de uma URL arbitrária no dispositivo de um alvo. A vulnerabilidade afeta versões anteriores do WhatsApp para iOS (antes da 2.25.21.73), WhatsApp Business para iOS (2.25.21.78) e WhatsApp para Mac (2.25.21.78). A empresa também alertou que essa falha poderia ser combinada com outra vulnerabilidade da Apple, CVE-2025-43300, que foi utilizada em ataques direcionados a indivíduos específicos. O ataque, descrito como um ‘zero-click’, não requer interação do usuário, aumentando a gravidade da situação. O WhatsApp notificou usuários que acreditam ter sido alvos de uma campanha de spyware avançada e recomendou a realização de um reset de fábrica nos dispositivos afetados, além de manter os aplicativos atualizados. A situação destaca a crescente ameaça de spyware a jornalistas e defensores dos direitos humanos.

A empresa de segurança mobile Zimperium alertou sobre uma nova variante do trojan bancário Hook, agora denominado Hook Versão 3, que se transformou em uma ameaça híbrida, atuando como spyware, ransomware e ferramenta de hacking. Este malware é capaz de executar 107 comandos remotos e possui 38 funções adicionais, aproveitando-se dos serviços de acessibilidade do Android para obter permissões irrestritas no dispositivo da vítima.

Uma das características mais preocupantes do Hook Versão 3 é sua capacidade de criar telas falsas transparentes, que imitam a tela de bloqueio e as telas de pagamento do Google Play, com o objetivo de roubar informações sensíveis, como PINs e dados de cartões de crédito. Além disso, o malware transmite a tela do celular em tempo real para os cibercriminosos, permitindo que eles monitorem as atividades da vítima. O ransomware também pode bloquear a tela do dispositivo, exigindo um pagamento em criptomoedas para a liberação.