< Back
A blurred silhouettes

Tags:

Threat intelligence
29 Outubro 2025

Resumo Semanal dos Ciberataques 23-29 outubro

O novo malware para Android Herodotus imita o comportamento humano para evitar a deteção

Investigadores de cibersegurança descobriram um novo trojan bancário para Android chamado Herodotus, um malware sofisticado projetado para realizar ataques de apropriação de dispositivos, imitando o comportamento humano para evitar sistemas de deteção e biometria comportamental. O Herodotus foi identificado depois que analistas observaram que amostras maliciosas desconhecidas estavam a ser distribuídas juntamente com malware conhecido para Android, como Hook e Octo. No entanto, a análise técnica revelou ligações mais estreitas com o Brokewell, um trojan bancário independente descoberto em 2024. Embora o Herodotus partilhe partes do código do Brokewell, ele parece ser uma nova família de malware desenvolvida por um agente conhecido como K1R0, que já a promoveu como uma oferta de malware-as-a-service (MaaS) em fóruns clandestinos. O Herodotus é distribuído por meio de side-loading, possivelmente através de links SMiShing, levando as vítimas a descarregar um dropper que instala a payload principal, contornando as restrições do Android 13+ sobre serviços de acessibilidade. O malware ainda está em fase de desenvolvimento ativo e espera-se que os seus operadores ampliem a sua funcionalidade e alcance geográfico.

Malware GhostGrab para Android

Investigadores de cibersegurança analisaram o GhostGrab, uma família de malware para Android recentemente identificada e muito sofisticada que combina roubo de dados em grande escala com mineração oculta de criptomoedas. A campanha representa uma nova evolução nas ameaças móveis, projetada para gerar duas fontes de receita para os cibercriminosos, recolhendo simultaneamente os dados financeiros das vítimas e explorando os recursos dos dispositivos para minerar Monero. Distribuída através de uma aplicação bancária falsa, a infeção começa quando os utilizadores são enganados para descarregar um APK dropper. Uma vez executado, o dropper abusa da permissão REQUEST_INSTALL_PACKAGES para instalar cargas úteis ocultas, esconde o seu ícone e mantém a persistência por meio da reprodução silenciosa de áudio e serviços em primeiro plano que impedem o encerramento do sistema.

A avalanche de smishing: uma campanha originária da China inunda as mensagens de texto em todo o mundo

Investigadores de cibersegurança descobriram uma campanha global massiva de smishing atribuída ao grupo cibercriminoso com sede na China conhecido como Smishing Triad. A operação, que começou por ter como alvo residentes dos EUA em abril de 2024, tornou-se um ecossistema de phishing como serviço (PhaaS) altamente descentralizado e sofisticado que afeta vítimas em todo o mundo. A campanha distribui mensagens SMS fraudulentas que se fazem passar por avisos de infração de portagem, falhas na entrega de pacotes e notificações governamentais, incitando os destinatários a clicar em links que levam a páginas de phishing concebidas para roubar dados pessoais e financeiros. Os investigadores identificaram mais de 194 000 domínios maliciosos e 136 933 domínios raiz registados desde janeiro de 2024, principalmente através da Dominet (HK) Limited, um registador com sede em Hong Kong, que utiliza servidores de nomes chineses, mas alojados principalmente em serviços na cloud dos EUA.

Análise da rede de distribuição de malware do YouTube

A Check Point Research revelou a existência da YouTube Ghost Network, um ecossistema sofisticado e persistente de distribuição de malware que opera dentro do YouTube desde pelo menos 2021. Esta rede coordenada baseia-se em milhares de contas comprometidas e falsas que exploram sistematicamente as funcionalidades da plataforma (vídeos, publicações da comunidade e secções de comentários) para distribuir malware sob a aparência de conteúdo de software legítimo. Os investigadores identificaram e denunciaram mais de 3000 vídeos maliciosos ligados a esta atividade, a maioria dos quais foi removida pelo Google, embora a operação em geral continue ativa e cada vez mais eficaz. Só em 2025, o número de uploads maliciosos triplicou em comparação com anos anteriores, o que ilustra a escalabilidade e o sucesso contínuo deste modelo de distribuição. A rede fantasma do YouTube opera aproveitando-se da confiança. Os agentes maliciosos comprometem contas legítimas ou criam perfis falsos convincentes para promover conteúdo malicioso disfarçado de truques para videojogos, software pirata ou aplicações piratas.

Jingle Thief: Dentro de uma campanha de fraude com cartões-presente baseada na cloud

Investigadores de cibersegurança descobriram uma operação fraudulenta em grande escala baseada na cloud chamada Jingle Thief, dirigida por atores maliciosos com motivações económicas que operavam a partir de Marrocos. O grupo, ao qual foi atribuído o nome interno CL-CRI-1032 e que se acredita estar relacionado com o Atlas Lion e o STORM-0539, é especializado em explorar ambientes para cometer fraudes com cartões-presente durante épocas festivas e de alto consumo. As suas operações têm como alvo principalmente empresas globais dos setores de retalho e serviços ao consumidor e abusam das funções de identidade na nuvem confiável, em vez de usar malware tradicional. A campanha começa com campanhas de phishing e smishing que exibem páginas de login falsas. Estas são enviadas através de programas de email PHP auto-hospedados em servidores WordPress comprometidos e costumam utilizar estruturas de URL enganosas, como o“rganization[.]com@malicious.tld”, para ocultar o domínio real. As vítimas são enganadas para introduzir as suas credenciais, o que concede aos atacantes acesso direto às contas corporativas na cloud.