O ecossistema Android continua sendo um dos principais alvos de cibercriminosos na América Latina, com destaque para países como Brasil e México. É o que revela o mais recente ESET Threat Report, divulgado pela ESET, que analisou a telemetria da companhia ao longo de 2025 e identificou as três famílias de malware mais detectadas em dispositivos Android na região.
De acordo com o levantamento, a combinação entre a alta dependência do smartphone, a fragmentação do sistema operacional e o uso prolongado de aparelhos e aplicativos desatualizados cria um ambiente favorável à permanência de exploits antigos e trojans adaptados, que seguem ativos e eficazes. Além disso, o Android é amplamente utilizado na região: só no Brasil, 72% dos celulares utilizam o sistema do Google — segundo pesquisa do Mobile Time e Opinion Box.
Além disso, de acordo com a ESET, canais de disseminação já conhecidos continuam desempenhando um papel central nesse cenário. Campanhas via SMS e mensagens com links diretos, aplicativos modificados distribuídos fora das lojas oficiais e apps que chegam às plataformas formais com poucas avaliações ou sinais limitados de atividade legítima seguem figurando entre os principais vetores de infecção na região. Segundo especialistas, esse contexto favorece tanto a circulação de ameaças antigas quanto o surgimento constante de variantes novas, mesmo que tecnicamente simples.
Para Daniel Barbosa, pesquisador de segurança da ESET Brasil, o ecossistema digital da região ainda permite que vetores tradicionais continuem funcionando com eficiência. "Exploits conhecidos, códigos reaproveitados e aplicativos fora dos canais oficiais seguem encontrando um público amplo, principalmente porque muitos dispositivos permanecem sem atualizações e os usuários acabam recorrendo a fontes inseguras."
1º – Trojan.Android/Exploit.CVE-2012-6636: uma falha antiga que ainda causa impacto
O exploit CVE-2012-6636 lidera o ranking de detecções em 2025 nos sistemas Android. A vulnerabilidade, descoberta há mais de uma década, afeta aplicativos que utilizam componentes legados, como versões antigas do WebView configuradas de forma insegura. Mesmo em dispositivos modernos, esses apps podem manter o comportamento vulnerável, permitindo que páginas maliciosas executem ações não autorizadas dentro do aplicativo.
A empresa de cibersegurança observa que, embora não seja, hoje, o centro de campanhas altamente sofisticadas, esse exploit segue presente em APKs (Android Package Kit), formato de arquivo padrão usado pelo sistema Android para distribuir e instalar aplicativos, distribuídos fora das lojas oficiais ou em aplicativos que não recebem atualizações há anos. A existência de códigos públicos para exploração da falha, inclusive em frameworks amplamente conhecidos, facilita sua reutilização por cibercriminosos.
2º – Trojan.Android/Exploit.Lotoor: escalonamento de privilégios que atravessa gerações
Na segunda posição aparece o Lotoor, uma família de exploits de escalonamento de privilégios utilizada, também, há mais de uma década. Especialistas da ESET explicam que o Lotoor reúne diversas técnicas que exploram vulnerabilidades do Android identificadas principalmente entre 2010 e 2013, permitindo que aplicativos obtenham acesso root (acesso de superusuário) em dispositivos desatualizados, cenário ainda comum em diferentes países da América Latina.
Daniel Barbosa explica que, ao longo do tempo, essas técnicas passaram a ser incorporadas por malwares com objetivos claros: desinstalar soluções de segurança, modificar configurações internas do sistema e instalar cargas adicionais de malwares sem o conhecimento do usuário. "A recorrência do Lotoor em rankings de detecção reforça como falhas antigas continuam relevantes em um ecossistema móvel fragmentado", complementa.
3º – Trojan.Android/Pandora: botnets escondidas em apps de streaming
Fechando o ranking, o Pandora é uma ameaça associada a uma variante do malware Mirai adaptada para Android, explica a ESET. Detectado inicialmente em 2023, ele se espalha principalmente por meio de aplicativos de streaming populares na América Latina, com foco especial em Android TV Boxes e dispositivos utilizados para acessar conteúdo não oficial.
A explicação de especialistas é que, disfarçado de aplicativo legítimo, o Pandora transforma o dispositivo infectado em parte de uma botnet, permitindo sua utilização em ataques distribuídos de negação de serviço (DDoS). Em alguns casos, pesquisadores da ESET identificaram firmwares modificados que já vinham infectados de fábrica, ampliando significativamente o alcance da ameaça.
"Esse panorama de 2025 mostra que as ameaças para Android continuam se apoiando em vetores bem conhecidos e na falta de atualização de dispositivos e aplicativos. Ainda assim, surgem códigos cada vez mais adaptados aos hábitos locais, o que mantém o ecossistema móvel da América Latina em constante risco", conclui Daniel Barbosa.
Boas práticas para reduzir os perigos
Diante desse cenário, a ESET recomenda que as pessoas usuárias de Android adotem medidas básicas de segurança, como manter o sistema e os aplicativos atualizados, instalar apps apenas de lojas oficiais ou fontes verificadas, evitar APKs de origem desconhecida e revisar permissões antes da instalação. "O uso de soluções de segurança confiáveis também é fundamental para detectar exploits, trojans e comportamentos anômalos", finaliza Barbosa.
