O ano de 2025 registrou um n\u00famero recorde de ataques a dispositivos Android. Golpistas v\u00eam surfando em algumas grandes tend\u00eancias: o hype em torno de aplicativos de IA, a tentativa de contornar bloqueios de sites ou verifica\u00e7\u00f5es de idade, a busca por um bom neg\u00f3cio na compra de um novo smartphone, a ampla ado\u00e7\u00e3o do mobile banking e, claro, a populariza\u00e7\u00e3o do NFC. Vamos analisar as principais amea\u00e7as de 2025\u20132026 e descobrir como manter seu dispositivo Android protegido nesse novo cen\u00e1rio.<\/p>\n
Pacotes de instala\u00e7\u00e3o maliciosos (arquivos APK) sempre representaram a maior amea\u00e7a no ecossistema Android, apesar dos esfor\u00e7os cont\u00ednuos do Google, ao longo de v\u00e1rios anos, para fortalecer o sistema operacional. Ao recorrer ao sideloading, isto \u00e9, instalar um aplicativo por meio de um arquivo APK em vez de baix\u00e1-lo da loja oficial, os usu\u00e1rios podem instalar praticamente qualquer coisa, inclusive malware puro e simples. Nem a implementa\u00e7\u00e3o do Google Play Protect nem as diversas restri\u00e7\u00f5es de permiss\u00f5es impostas a aplicativos suspeitos conseguiram reduzir de forma significativa a dimens\u00e3o do problema.<\/p>\n
De acordo com dados preliminares da Kaspersky para 2025, o n\u00famero de amea\u00e7as Android detectadas cresceu quase 50%<\/a>. Apenas no terceiro trimestre, as detec\u00e7\u00f5es aumentaram 38%<\/a> em compara\u00e7\u00e3o com o segundo. Em alguns segmentos, como os cavalos de troia banc\u00e1rios, o crescimento foi ainda mais agressivo. Somente na R\u00fassia, o not\u00f3rio cavalo de troia banc\u00e1rio Mamont<\/a> atacou 36 vezes mais usu\u00e1rios do que no ano anterior, enquanto, globalmente, essa categoria como um todo registrou um aumento de quase quatro vezes.<\/p>\n Nos dias atuais, agentes mal-intencionados distribuem malware principalmente por meio de aplicativos de mensagens, inserindo arquivos maliciosos em mensagens diretas e em chats de grupo. O arquivo de instala\u00e7\u00e3o costuma ter um nome chamativo, como \u201cparty_pics.jpg.apk\u201d ou \u201cclearance_sale_catalog.apk\u201d, acompanhado de uma mensagem que \u201cajuda\u201d o usu\u00e1rio ao explicar como instalar o pacote, enquanto contorna as restri\u00e7\u00f5es do sistema operacional e os alertas de seguran\u00e7a.<\/p>\n Depois que um novo dispositivo \u00e9 infectado, o malware frequentemente se autoespalha para todos os contatos da v\u00edtima.<\/p>\n Spam em mecanismos de busca e campanhas de e-mail tamb\u00e9m est\u00e3o em alta, atraindo usu\u00e1rios para sites que se parecem exatamente com uma loja oficial de aplicativos. Neles, o usu\u00e1rio \u00e9 incentivado a baixar o \u201caplicativo \u00fatil mais recente\u201d, como um assistente de IA. Na pr\u00e1tica, em vez de uma instala\u00e7\u00e3o advinda de uma loja oficial, o usu\u00e1rio acaba baixando um pacote APK. Um exemplo emblem\u00e1tico dessas t\u00e1ticas \u00e9 o cavalo de troia Android ClayRat<\/a>, que combina todas essas t\u00e9cnicas para atingir usu\u00e1rios russos. Ele se espalha por grupos e sites falsos, \u00e9 enviado automaticamente aos contatos da v\u00edtima por SMS e, em seguida, passa a roubar registros de conversas e hist\u00f3ricos de chamadas, chegando at\u00e9 a tirar fotos do propriet\u00e1rio com a c\u00e2mera frontal do dispositivo. Em apenas tr\u00eas meses, surgiram mais de 600 variantes distintas do ClayRat.<\/p>\n A gravidade do problema \u00e9 t\u00e3o grande que o Google chegou a anunciar uma futura proibi\u00e7\u00e3o<\/a> da distribui\u00e7\u00e3o de aplicativos de desenvolvedores desconhecidos a partir de 2026. No entanto, ap\u00f3s alguns meses de resist\u00eancia por parte da comunidade de desenvolvedores, a empresa optou<\/a> por uma abordagem mais branda: aplicativos n\u00e3o assinados provavelmente s\u00f3 poder\u00e3o ser instalados por meio de algum tipo de modo de superusu\u00e1rio. Como resultado, \u00e9 de se esperar que os golpistas simplesmente atualizem seus guias com instru\u00e7\u00f5es para ativar esse modo.<\/p>\n Kaspersky for Android<\/a> ajudar\u00e1 voc\u00ea a se proteger contra arquivos APK falsificados e trojanizados. Infelizmente, em fun\u00e7\u00e3o da decis\u00e3o do Google, nossos aplicativos de seguran\u00e7a para Android est\u00e3o indispon\u00edveis no Google Play no momento. J\u00e1 fornecemos anteriormente informa\u00e7\u00f5es detalhadas sobre como instalar nossos aplicativos Android com garantia total de autenticidade<\/a>.<\/p>\n Uma vez que um dispositivo Android \u00e9 comprometido, os hackers podem eliminar intermedi\u00e1rios e roubar dinheiro da v\u00edtima diretamente, gra\u00e7as \u00e0 ampla populariza\u00e7\u00e3o dos pagamentos m\u00f3veis. Somente no terceiro trimestre de 2025, mais de 44.000 desses ataques foram detectados na R\u00fassia \u2013 um salto de 50% em rela\u00e7\u00e3o ao trimestre anterior.<\/p>\n Atualmente, h\u00e1 dois principais golpes em circula\u00e7\u00e3o: explora\u00e7\u00f5es NFC diretas e reversas.<\/p>\n Um ataque de retransmiss\u00e3o por NFC direto ocorre quando um golpista entra em contato com a v\u00edtima por meio de um aplicativo de mensagens e a convence a baixar um aplicativo, supostamente para \u201cverificar sua identidade\u201d junto ao banco. Se a v\u00edtima cair no golpe e instalar o aplicativo, ser\u00e1 instru\u00edda a aproximar o cart\u00e3o banc\u00e1rio f\u00edsico da parte traseira do telefone e a digitar o PIN. Em poucos instantes, os dados do cart\u00e3o s\u00e3o entregues aos criminosos, que ent\u00e3o podem esvaziar a conta ou sair fazendo compras.<\/p>\n Um ataque de retransmiss\u00e3o por NFC reverso \u00e9 um esquema mais elaborado. O golpista envia um APK malicioso e convence a v\u00edtima a definir esse novo aplicativo como o m\u00e9todo principal de pagamento por aproxima\u00e7\u00e3o. O aplicativo gera um sinal NFC que \u00e9 reconhecido por caixas eletr\u00f4nicos como o cart\u00e3o do golpista. Em seguida, a v\u00edtima \u00e9 induzida a ir at\u00e9 um caixa eletr\u00f4nico com o telefone infectado para depositar dinheiro em uma \u201cconta segura\u201d. Na pr\u00e1tica, esses valores v\u00e3o diretamente para o bolso do criminoso.<\/p>\n Ambos os m\u00e9todos s\u00e3o detalhados no nosso post sobre ataques de skimming por NFC<\/strong><\/a>.<\/p>\n O NFC tamb\u00e9m vem sendo explorado para sacar valores de cart\u00f5es cujos dados j\u00e1 foram roubados por meio de sites de phishing. Nesse cen\u00e1rio, os atacantes tentam vincular o cart\u00e3o furtado a uma carteira digital no seu pr\u00f3prio smartphone, uma t\u00e9cnica que analisamos em profundidade no artigo Fraudadores de cart\u00f5es com NFC se escondem atr\u00e1s do Apple Pay e Google Wallet<\/strong><\/a>.<\/p>\n Em muitas partes do mundo, acessar determinados sites j\u00e1 n\u00e3o \u00e9 t\u00e3o simples quanto antes. Alguns s\u00e3o bloqueados por reguladores locais de Internet ou por provedores de acesso por meio de decis\u00f5es judiciais; outros exigem que o usu\u00e1rio fa\u00e7a uma verifica\u00e7\u00e3o de idade, apresentando documentos e informa\u00e7\u00f5es pessoais. Em certos casos, os sites chegam a bloquear completamente o acesso de usu\u00e1rios de pa\u00edses espec\u00edficos apenas para evitar a complexidade de cumprir legisla\u00e7\u00f5es locais. Diante dessa situa\u00e7\u00e3o, os usu\u00e1rios tentam constantemente contornar essas restri\u00e7\u00f5es e, com frequ\u00eancia, acabam pagando por isso com seus dados ou com dinheiro.<\/p>\n Muitas ferramentas populares para burlar bloqueios, especialmente as gratuitas, acabam espionando seus pr\u00f3prios usu\u00e1rios. Uma auditoria recente revelou que mais de 20 servi\u00e7os populares, somando mais de 700 milh\u00f5es de downloads, rastreiam ativamente a localiza\u00e7\u00e3o dos usu\u00e1rios<\/a>. Al\u00e9m disso, esses aplicativos costumam empregar criptografia fraca ou duvidosa, o que deixa os dados dos usu\u00e1rios praticamente expostos \u00e0 intercepta\u00e7\u00e3o por terceiros.<\/p>\n E mais: segundo dados do Google de novembro de 2025<\/a>, houve um aumento acentuado nos casos de aplicativos maliciosos disfar\u00e7ados de servi\u00e7os leg\u00edtimos de VPN<\/a>, cujo objetivo \u00e9 enganar usu\u00e1rios desavisados.<\/p>\n As permiss\u00f5es que esses tipos de aplicativos realmente necessitam s\u00e3o ideais para interceptar dados e manipular o tr\u00e1fego de sites. Tamb\u00e9m \u00e9 muito mais f\u00e1cil para golpistas convencerem uma v\u00edtima a conceder privil\u00e9gios administrativos a um aplicativo respons\u00e1vel pelo acesso \u00e0 Internet do que, por exemplo, a um jogo ou reprodutor de m\u00fasica. A tend\u00eancia \u00e9 que esse tipo de esquema continue a ganhar popularidade.<\/p>\n At\u00e9 mesmo usu\u00e1rios cautelosos podem acabar v\u00edtimas de uma infec\u00e7\u00e3o ao ceder \u00e0 tenta\u00e7\u00e3o de economizar. Ao longo de 2025, foram registrados, em v\u00e1rias partes do mundo, casos de dispositivos que j\u00e1 vinham infectados com um cavalo de troia no momento em que eram retirados da caixa<\/a>. Em geral, tratava-se de smartphones de fabricantes pouco conhecidos ou de falsifica\u00e7\u00f5es de marcas famosas adquiridas em marketplaces online. Mas a amea\u00e7a n\u00e3o se limitou apenas a telefones: TV boxes, tablets, smart TVs<\/a> e at\u00e9 porta-retratos digitais<\/a> tamb\u00e9m foram considerados vulner\u00e1veis.<\/p>\n Ainda n\u00e3o est\u00e1 totalmente claro se a infec\u00e7\u00e3o ocorre diretamente na f\u00e1brica ou em algum ponto da cadeia de suprimentos entre a linha de produ\u00e7\u00e3o e a casa do comprador, mas o fato \u00e9 que o dispositivo j\u00e1 est\u00e1 comprometido antes mesmo de ser ligado pela primeira vez. Normalmente, trata-se de um malware sofisticado chamado Triada, identificado pela primeira vez por analistas da Kaspersky em 2016<\/a>. Ele \u00e9 capaz de se injetar em todos os aplicativos em execu\u00e7\u00e3o para interceptar informa\u00e7\u00f5es, roubando tokens de acesso e senhas de aplicativos populares de mensagens e redes sociais, sequestrando mensagens SMS, incluindo c\u00f3digos de confirma\u00e7\u00e3o, redirecionando usu\u00e1rios para sites repletos de an\u00fancios e at\u00e9 executando um proxy diretamente no telefone, permitindo que atacantes naveguem na Internet usando a identidade da v\u00edtima.<\/p>\n Do ponto de vista t\u00e9cnico, o cavalo de troia fica embutido diretamente no firmware do smartphone, e a \u00fanica forma de elimin\u00e1-lo \u00e9 reinstalar o sistema operacional. Em muitos casos, ao analisar o sistema mais a fundo, descobre-se que o dispositivo tem muito menos mem\u00f3ria RAM ou armazenamento do que o anunciado, o que significa que o firmware literalmente mente para o propriet\u00e1rio para vender um hardware barato como se fosse um modelo mais avan\u00e7ado.<\/p>\n Outra amea\u00e7a comum pr\u00e9-instalada \u00e9 o botnet BADBOX 2.0<\/a>, que tamb\u00e9m atua simultaneamente como proxy e como mecanismo de fraude publicit\u00e1ria. Esse malware \u00e9 especializado em TV boxes e dispositivos de hardware semelhantes.<\/p>\n Apesar da lista crescente de amea\u00e7as, ainda \u00e9 poss\u00edvel usar seu smartphone Android com seguran\u00e7a. Basta seguir algumas regras rigorosas de higiene digital.<\/p>\n Outras grandes amea\u00e7as ao Android em 2025:<\/p>\n Vulnerabilidade Pixnapping: capturas de tela sem restri\u00e7\u00e3o no seu telefone Android<\/strong><\/a><\/p>\n Spywares que fingem ser um antiv\u00edrus<\/strong><\/a><\/p>\n Roubo de dados durante o carregamento do smartphone<\/strong><\/a><\/p>\nAtaques de retransmiss\u00e3o por NFC<\/h2>\n
A pol\u00eamica em torno das VPNs<\/h2>\n
Cavalo de troia \u201cde f\u00e1brica\u201d<\/h2>\n
Como continuar usando dispositivos Android sem perder a sanidade<\/h2>\n
\n