← Voltar ao Blog
Boletim de Segurança 🟠 Alto

Mobile Sob Ataque: Zero-Days Android e iOS

5 min de leitura
URGÊNCIA ALTA

Resumo Executivo

Google lança patch emergencial de segurança Android para vulnerabilidade de kernel ativamente explorada afetando dispositivos Pixel e Samsung. Apple confirma zero-day no mecanismo WebKit do iOS 19 sendo usado em ataques direcionados. Trojans bancários aumentam 340% em plataformas móveis conforme atores de ameaça exploram novas técnicas de ataque overlay.

⚡ Linha de fundo: Atualize todos os dispositivos Android e iOS imediatamente. Audite a frota de dispositivos móveis para conformidade com patches.

🤖
Zero-Day Crítico

CVE-2026-20892: Escalação de Privilégios do Kernel Android

Por Que É Importante

Uma vulnerabilidade crítica use-after-free no mecanismo Binder IPC do kernel Android permite que aplicativos maliciosos escapem das restrições de sandbox e obtenham acesso root. O Google TAG confirma exploração por fornecedores de spyware comercial visando jornalistas e ativistas.

Impacto Descrição
Comprometimento Total do Dispositivo Acesso root possibilita controle completo do dispositivo
Roubo de Dados Acesso a todos os aplicativos, mensagens, fotos, histórico de localização
Persistência Sobrevive à redefinição de fábrica em alguns dispositivos
Vigilância Ativação de microfone/câmera sem indicadores

Como se Proteger — Itens de Ação

  • Instale o Patch de Segurança Android de fevereiro de 2026 imediatamente
  • Verifique o nível de patch do dispositivo: Configurações > Sobre > Patch de Segurança Android
  • Desabilite instalações de aplicativos de fontes desconhecidas
  • Revise aplicativos instalados quanto a permissões incomuns
  • Empresas: Implemente política MDM exigindo o patch de segurança mais recente
🍎
Zero-Day Crítico

CVE-2026-23456: Zero-Day WebKit iOS 19

Por Que É Importante

Apple confirma exploração ativa de uma vulnerabilidade de confusão de tipo no WebKit afetando iOS 19.0 até 19.2. Visitar um site malicioso pode levar à execução de código arbitrário. A variante mais recente do Pegasus do NSO Group supostamente aproveita essa falha.

Cenário no Pior Caso

📱

Exploração Zero-Click

Ataque via links do iMessage sem interação do usuário.

🔐

Aplicativos Criptografados Expostos

Conteúdo do Signal, WhatsApp, Telegram acessível aos atacantes.

👁

Vigilância Persistente

Dispositivo se torna ferramenta de vigilância com acesso a câmera, microfone e localização.

Como se Proteger — Itens de Ação

  • Atualize para iOS 19.2.1 imediatamente (Ajustes > Geral > Atualização de Software)
  • Habilite o Modo de Isolamento para indivíduos de alto risco
  • Desabilite visualizações de link do iMessage temporariamente
  • Revise mensagens desconhecidas antes de clicar em qualquer link
  • Empresas: Imponha conformidade MDM para versão do iOS
💰
Urgente

Trojan Bancário Cerberus 3.0 Ressurge

Por Que É Importante

O trojan bancário Cerberus retornou com capacidades aprimoradas incluindo compartilhamento de tela em tempo real, sequestro de notificações push e ataques overlay aprimorados visando mais de 450 aplicativos bancários mundialmente. Distribuição via aplicativos falsos de "Atualização de Segurança" em lojas de terceiros.

Como se Proteger — Itens de Ação

  • Instale aplicativos apenas da Google Play Store oficial
  • Habilite a varredura do Google Play Protect
  • Revise aplicativos com permissões de Serviço de Acessibilidade
  • Desabilite permissões SMS para aplicativos não essenciais
  • Use chaves de segurança de hardware para serviços bancários quando suportado
🔒
Risco App Store

Aplicativos VPN Falsos iOS Coletando Dados

Por Que É Importante

Pesquisadores identificaram 12 aplicativos VPN maliciosos na App Store que coletivamente foram baixados 3,2 milhões de vezes. Esses aplicativos interceptam todo o tráfego do dispositivo, coletam credenciais e vendem dados de usuários para corretores de dados.

Como se Proteger — Itens de Ação

  • Remova aplicativos VPN: SecureShield VPN, TurboGuard VPN, PrivacyMax (veja lista completa)
  • Use apenas VPNs de fornecedores de segurança estabelecidos
  • Revise permissões e atividade de rede dos aplicativos VPN
  • Considere soluções VPN empresariais para uso comercial
📷
Alerta de Tendência

Phishing por Código QR Visando Usuários Móveis

Por Que É Importante

Ataques "Quishing" aumentaram 287% conforme atacantes colocam códigos QR maliciosos em parquímetros, cardápios de restaurantes e avisos de entrega falsos. Navegadores móveis frequentemente não exibem URLs completas, dificultando a detecção.

Como se Proteger — Itens de Ação

  • Use aplicativos de scanner QR que visualizam URLs antes de abrir
  • Verifique se códigos QR em objetos físicos não são adesivos cobrindo códigos legítimos
  • Nunca insira credenciais em sites acessados via código QR
  • Treine funcionários sobre riscos de phishing por código QR

Execute uma varredura KENSAI agora para verificar sua postura de segurança móvel

🗡️ Varrer Seus Sistemas →

Sua Lista de Ações para Esta Semana

Crítico — Fazer Hoje
  • Instale o Patch de Segurança Android de fevereiro de 2026
  • Atualize dispositivos iOS para 19.2.1
  • Audite a frota de dispositivos móveis para conformidade com patches
Alto — Fazer Esta Semana
  • Revise políticas MDM para restrições de instalação de aplicativos
  • Remova aplicativos VPN suspeitos dos dispositivos
  • Habilite soluções de defesa contra ameaças móveis (MTD)
Médio — Contínuo
  • Treine usuários sobre conscientização de phishing por código QR
  • Revise configurações de segurança de aplicativos bancários
  • Implemente políticas de permissões de aplicativos

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home