Para conseguir concretizar seus planos ardilosos, os desenvolvedores de malware para Android precisam enfrentar vários desafios sucessivos: enganar os usuários para invadir o smartphone, burlar os softwares de segurança, convencer as vítimas a conceder várias permissões do sistema, manter a distância de otimizadores de bateria integrados que consomem muitos recursos e, depois de tudo isso, ter a certeza de que o malware realmente gera lucro. Os criadores do BeatBanker, uma campanha de malware baseado em‑Android descoberta recentemente por nossos especialistas, desenvolveram algo novo para cada uma dessas etapas. O ataque é voltado, por enquanto, para usuários brasileiros, mas as ambições dos desenvolvedores quase certamente motivará uma expansão internacional, então, vale a pena permanecer em alerta e estudar os truques do agente da ameaça. É possível encontrar uma análise técnica completa do malware na Securelist.

Como o BeatBanker se infiltra em um smartphone

O malware é distribuído por páginas de phishing especialmente criadas que imitam a Google Play Store. Uma página facilmente confundida com o Marketplace oficial convida os usuários a baixar um aplicativo aparentemente útil. Em uma campanha, o trojan se disfarçou como o aplicativo de serviços do governo brasileiro, o INSS Reembolso. Em outra, ele se apresentava como um aplicativo da Starlink.

O site malicioso cupomgratisfood{.}shop faz um excelente trabalho ao imitar uma loja de aplicativos. Não está claro por que o aplicativo INSS Reembolso falso aparece todas as três vezes. Para transparecer mais credibilidade, talvez?!

A instalação ocorre em várias etapas para evitar a solicitação de muitas permissões ao mesmo tempo e para acalmar ainda mais a vítima. Depois que o primeiro aplicativo é baixado e iniciado, ele exibe uma interface que também se assemelha ao Google Play e simula uma atualização para o aplicativo falso, ao solicitar a permissão do usuário para instalar aplicativos, algo que não parece fora do comum no contexto. Se essa permissão for concedida, o malware baixará módulos maliciosos adicionais no smartphone.

Após a instalação, o trojan simula uma atualização do aplicativo chamariz via Google Play ao solicitar permissão para instalar aplicativos enquanto baixa módulos maliciosos adicionais no processo

Todos os componentes do trojan são criptografados. Antes de descriptografar e prosseguir para os próximos estágios da infecção, ele verifica se o smartphone é real e se ele está no país de destino. O BeatBanker encerra imediatamente o próprio processo se encontrar discrepâncias ou detectar que está sendo executado em ambientes emulados ou de análise. Isso complica a análise dinâmica do malware. Aliás, o falso downloader de atualizações injeta módulos diretamente na RAM para evitar a criação de arquivos no smartphone que seriam visíveis ao software de segurança.

Todos esses truques não são novidade e são frequentemente usados em malwares complexos para computadores desktop. No entanto, para smartphones, essa sofisticação ainda é uma raridade, e nem todas as ferramentas de segurança conseguirão detectar isso. Usuários de produtos da Kaspersky estão protegidos contra essa ameaça.

Reprodução de áudio como um escudo

Uma vez estabelecido no smartphone, o BeatBanker baixa um módulo para minerar a criptomoeda Monero. Os autores estavam muito preocupados com a possibilidade dos sistemas agressivos de otimização de bateria do smartphone desligarem o minerador, então eles criaram um truque: tocar um som quase inaudível o tempo todo. Os sistemas de controle de consumo de energia normalmente poupam os aplicativos que estão reproduzindo áudio ou vídeo para evitar cortar a música de fundo ou os players de podcast. Dessa forma, o malware pode ser executado continuamente. Além disso, ele exibe uma notificação persistente na barra de status para solicitar ao usuário que mantenha o telefone ligado para uma atualização do sistema.

Exemplo de uma notificação de atualização persistente do sistema de outro aplicativo malicioso disfarçado como um aplicativo da Starlink

Controle via Google

Para gerenciar o trojan, os autores utilizam o Firebase Cloud Messaging (FCM) legítimo do Google, um sistema para receber notificações e enviar dados de um smartphone. Esse recurso está disponível para todos os aplicativos e é o método mais popular para enviar e receber dados. Graças ao FCM, os invasores podem monitorar o status do dispositivo e alterar as configurações de acordo com suas necessidades.

Não acontecerá nada durante um tempo, depois que o malware for instalado, os invasores esperam pacientemente. Então, eles acionam o minerador, mas com o cuidado de reduzir a intensidade, se o telefone superaquecer, a bateria começar a descarregar ou o proprietário estiver usando o dispositivo. Tudo isso é feito via FCM.

Roubo e espionagem

Além do minerador de criptomoedas, o BeatBanker instala módulos extras para espionar o usuário e realizar o roubo no momento certo. O módulo de spyware solicita a permissão dos Serviços de Acessibilidade, e se ela for concedida, o monitoramento de tudo o que estiver acontecendo no smartphone começa.

Se o proprietário abrir o aplicativo Binance ou Trust Wallet para enviar USDT, o malware sobrepõe uma tela falsa na parte superior da interface da carteira ao trocar efetivamente o endereço do destinatário pelo seu próprio endereço. Todas as transferências vão para os golpistas.

O trojan possui um sistema de controle remoto avançado e é capaz de executar muitos outros comandos:

• Interceptação de códigos únicos do Google Autenticador
• Gravação de áudio do microfone
• Streaming da tela em tempo real
• Monitoramento da área de transferência e interceptação de pressionamentos de tecla
• Envio de mensagens SMS
• Simulação de toques em áreas específicas da tela e entrada de texto de acordo com um script enviado pelo invasor e muito mais

Tudo isso torna possível roubar a vítima quando ela usa qualquer outro serviço bancário ou de pagamento, não apenas os pagamentos de criptomoedas.

Às vezes, as vítimas são infectadas com um módulo diferente para espionagem e controle remoto por smartphone, o trojan de acesso remoto BTMOB. Seus recursos maliciosos são ainda mais amplos, incluindo:

• Aquisição automática de determinadas permissões no Android 13 a 15
• Rastreamento contínuo de geolocalização
• Acesso às câmeras frontal e traseira
• Obtenção de códigos PIN e senhas para desbloqueio da tela
• Captura da digitação do teclado

Como se proteger contra o BeatBanker

Os criminosos virtuais estão constantemente refinando seus ataques e criando novas soluções como formas de lucrar com as vítimas. Apesar disso, é possível se proteger seguindo algumas precauções simples:

• Baixe aplicativos somente de fontes oficiais, como o Google Play ou a loja de aplicativos pré-instalada pelo fornecedor. Se encontrar um aplicativo ao pesquisar na Internet, não o abra por meio de um link do navegador, em vez disso, acesse o aplicativo Google Play ou outra loja consolidada em seu smartphone e procure por ele lá. Enquanto estiver fazendo isso, verifique o número de downloads, o histórico do aplicativo, as classificações e os comentários. Evite aplicativos novos, aplicativos com classificações baixas e aqueles com um pequeno número de downloads.
• Verifique todas as permissões concedidas. Não conceda permissões sem a certeza do que elas fazem ou por que esse aplicativo específico as requer. Tenha muito cuidado com permissões como Instalar aplicativos desconhecidos, Acessibilidade, Superusuário e Exibir sobre outros aplicativos. Escrevemos sobre isso em detalhes em um artigo separado.
• Equipe seu dispositivo com uma solução antimalware abrangente. Naturalmente, recomendamos o Kaspersky for Android. Os usuários dos produtos Kaspersky estão protegidos contra o BeatBanker, detectado com os veredictos HEUR:Trojan-Dropper.AndroidOS.BeatBanker e HEUR:Trojan-Dropper.AndroidOS.Banker.*.
• Atualize regularmente o sistema operacional e o software de segurança. Para o Kaspersky for Android, atualmente indisponível no Google Play, consulte nossas instruções detalhadas sobre como instalar e atualizar o aplicativo.

Ameaças aos usuários do Android estão aumentando bastante ultimamente. Confira nossas outras postagens sobre os ataques Android mais relevantes e difundidos, além das dicas para manter você e seus entes queridos seguros:

• A tempestade perfeita de ameaças no Android
• Esgotamento cerebral: vulnerabilidades em aplicativos de saúde mental
• Vulnerabilidade Pixnapping: capturas de tela sem restrição no seu telefone Android
• Ataques de retransmissão por NFC
• Uma nova camada de segurança antiphishing no Kaspersky for Android

É possível que um computador seja infectado por malware simplesmente ao processar uma foto? Especialmente se esse computador for um Mac, que muitos ainda acreditam, de forma equivocada, ser inerentemente resistente a malware? A resposta é sim. Isso pode ocorrer se você estiver utilizando uma versão vulnerável do ExifTool ou um dos inúmeros aplicativos desenvolvidos com base nele. O ExifTool é uma solução de código aberto amplamente utilizada para ler, gravar e editar metadados de imagens. Trata-se da ferramenta de referência para fotógrafos e arquivistas digitais, sendo também muito empregada em análise de dados, perícia digital e jornalismo investigativo.

Especialistas da nossa equipe GReAT descobriram uma vulnerabilidade crítica, registrada como CVE-2026-3102, que é acionada durante o processamento de arquivos de imagem maliciosos contendo comandos shell incorporados em seus metadados. Quando uma versão vulnerável do ExifTool no macOS processa esse tipo de arquivo, o comando é executado automaticamente. Isso permite que um agente malicioso realize ações não autorizadas no sistema, como baixar e executar um payload a partir de um servidor remoto. Neste post, explicamos em detalhes como esse exploit funciona, apresentamos recomendações práticas de defesa e mostramos como verificar se seu sistema está vulnerável.

O que é o ExifTool?

O ExifTool é um aplicativo gratuito e de código aberto que atende a uma necessidade específica, porém crítica: extrair metadados de arquivos e permitir o processamento tanto desses dados quanto dos próprios arquivos. Metadados são informações incorporadas à maioria dos formatos de arquivo modernos e que descrevem ou complementam o conteúdo principal de um arquivo. Por exemplo, em uma faixa de música, os metadados incluem o nome do artista, o título da música, o gênero, o ano de lançamento, a arte da capa do álbum e assim por diante. Em fotografias, normalmente incluem a data e hora do registro, as coordenadas GPS, as configurações de ISO e a velocidade do obturador, além da marca e do modelo da câmera. Até documentos de escritório armazenam metadados, como o nome do autor, o tempo total de edição e a data original de criação.

O ExifTool é considerado o líder do setor em termos de quantidade de formatos de arquivo compatíveis, além da profundidade, precisão e versatilidade de suas capacidades de processamento. Entre os casos de uso mais comuns estão:

• Ajustar datas se estiverem incorretamente registradas nos arquivos de origem
• Transferir metadados entre diferentes formatos de arquivo (de JPG para PNG, entre outros)
• Extrair miniaturas de pré-visualização de formatos RAW profissionais (como 3FR, ARW ou CR3)
• Recuperar dados de formatos especializados, incluindo imagens térmicas da FLIR, fotos de campo de luz da LYTRO e imagens médicas no formato DICOM
• Renomear arquivos de foto ou vídeo com base no momento real do registro e sincronizar a data e hora de criação do arquivo
• Inserir coordenadas GPS em um arquivo sincronizando-o com um log de trilha GPS armazenado separadamente ou adicionando o nome da localidade habitada mais próxima

E a lista continua. O ExifTool está disponível tanto como aplicativo autônomo de linha de comando quanto como biblioteca de código aberto, o que significa que seu código frequentemente opera nos bastidores de ferramentas mais complexas e multifuncionais. Entre os exemplos estão sistemas de organização de fotos como Exif Photoworker e MetaScope, ou ferramentas de automação de processamento de imagens como ImageIngester. Em grandes bibliotecas digitais, editoras e empresas especializadas em análise de imagens, o ExifTool costuma ser utilizado em modo automatizado, acionado por aplicativos corporativos internos e scripts personalizados.

Como a CVE-2026-3102 funciona

Para explorar essa vulnerabilidade, um invasor precisa criar um arquivo de imagem de uma forma específica. A imagem em si pode ser qualquer uma; o exploit está nos metadados, mais precisamente no campo DateTimeOriginal (data e hora de criação), que precisa estar registrado em um formato inválido. Além da data e da hora, esse campo deve conter comandos shell maliciosos. Devido à forma específica como o ExifTool manipula dados no macOS, esses comandos só serão executados se duas condições forem atendidas:

• O aplicativo ou a biblioteca estiver sendo executado no macOS
• O sinalizador -n (ou –printConv) estiver habilitado. Esse modo gera dados legíveis por máquina, sem processamento adicional. Por exemplo, no modo -n, os dados de orientação da câmera são exibidos simplesmente como “six”, enquanto, com processamento adicional, aparecem na forma mais compreensível “Rotated 90 CW”. Essa conversão para uma forma “legível por humanos” impede a exploração da vulnerabilidade

Um cenário raro, mas de forma alguma impossível, de ataque direcionado poderia ocorrer da seguinte maneira. Um laboratório forense, uma redação de jornal ou uma grande organização que processe documentação jurídica ou médica recebe um arquivo digital de interesse. Pode ser uma fotografia sensacionalista ou uma petição judicial; a isca depende da área de atuação da vítima. Todos os arquivos que entram na organização passam por triagem e catalogação em um sistema de gestão de ativos digitais (DAM). Em grandes empresas, esse processo costuma ser automatizado; profissionais autônomos e pequenas empresas executam o software necessário manualmente. Em ambos os casos, a biblioteca ExifTool precisa estar sendo utilizada nos bastidores desse software. Ao processar a data da fotografia maliciosa, o computador onde o processamento ocorre é infectado por um trojan ou um infostealer, que posteriormente pode roubar todos os dados valiosos armazenados no dispositivo comprometido. Enquanto isso, a vítima pode não perceber absolutamente nada, pois o ataque explora apenas os metadados da imagem, enquanto a própria fotografia pode ser aparentemente inofensiva, legítima e até útil.

Como se proteger da vulnerabilidade do ExifTool

Pesquisadores da equipe GReAT relataram a vulnerabilidade ao autor do ExifTool, que rapidamente lançou a versão 13.50, não suscetível à CVE-2026-3102. As versões 13.49 e anteriores devem ser atualizadas para corrigir a falha.

É fundamental garantir que todos os fluxos de processamento de imagens estejam utilizando a versão atualizada. Verifique se todas as plataformas de gestão de ativos digitais, aplicativos de organização de fotos e quaisquer scripts de processamento em lote de imagens executados em Macs estão habilitando o ExifTool versão 13.50 ou posterior, e se não contêm uma cópia incorporada mais antiga da biblioteca ExifTool.

Naturalmente, o ExifTool, como qualquer software, pode conter outras vulnerabilidades dessa mesma classe. Para reforçar a segurança, recomenda-se também:

• Isolar o processamento de arquivos não confiáveis. Processe imagens provenientes de fontes duvidosas em uma máquina dedicada ou dentro de um ambiente virtual, limitando rigorosamente o acesso desse ambiente a outros computadores, armazenamentos de dados e recursos de rede.
• Monitorar continuamente vulnerabilidades na cadeia de suprimentos de software. Organizações que dependem de componentes de código aberto em seus fluxos de trabalho podem utilizar Open Source Data Feed para acompanhamento.

Por fim, se você trabalha com freelancers ou prestadores autônomos (ou permite o uso de BYOD, Bring Your Own Device), autorize o acesso à sua rede somente se esses dispositivos tiverem uma solução abrangente de segurança para macOS instalada.

Ainda acha que o macOS é totalmente seguro? Então, vale conhecer algumas ameaças recentes direcionadas a Macs:

• Banshee: um malware de roubo de dados que persegue usuários do macOS
• Os Macs são seguros? Ameaças aos usuários do macOS
• O Infostealer entrou no chat
• AirBorne: Ataques a dispositivos da Apple através de vulnerabilidades no AirPlay
• Invasão de Android, macOS, iOS e Linux por meio de uma vulnerabilidade do Bluetooth