Nos últimos anos, o Google melhorou muito no fornecimento de atualizações regulares de segurança para seus telefones Pixel, e outros fabricantes de Android, incluindo a Samsung, também melhoraram o período de tempo que os dispositivos recebem atualizações após o lançamento.
Apesar das correções mais frequentes feitas aos telefones quando bugs são encontrados, isso não impede que os criminosos explorem falhas no Android para encontrar novas maneiras de hackear telefones e roubar seus dados pessoais.
Foi descoberto um novo tipo de ataque direcionado a telefones Android que pode supostamente roubar informações do seu telefone, como códigos de autenticação de dois fatores e seus registros de localização, tudo em menos de 30 segundos.
Pesquisadores da Universidade da Califórnia que descoberto isso é chamado de ‘pixnapping’, porque o ataque, por meio de um aplicativo Android malicioso, sequestra pixels da sua tela, significando essencialmente que alguém pode ver o que está na sua tela.
“Pixnapping é uma nova classe de ataques que permite que um aplicativo Android malicioso vaze furtivamente informações exibidas por outros aplicativos Android ou sites arbitrários”, eles disse. “Pixnapping explora APIs Android e um canal lateral de hardware que afeta quase todos os dispositivos Android modernos.”
Os pesquisadores disseram ter visto os ataques acontecerem em telefones Google Pixel e Samsung Galaxy, com dados podendo ser extraídos (sem que o usuário percebesse) de aplicativos como o Gmail e até mesmo do aplicativo de mensagens privadas Signal. Os telefones específicos foram Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 e Samsung Galaxy S25, mas isso não exclui outros telefones de serem vulneráveis.
“Notavelmente, nosso ataque contra o Google Authenticator permite que qualquer aplicativo malicioso roube códigos 2FA em menos de 30 segundos, enquanto esconde o ataque do usuário”, disseram eles, indicando que os invasores podem roubar os códigos de autenticação de dois fatores projetados para impedir que as pessoas consigam acessar suas contas pessoais, mesmo que saibam o nome de usuário e a senha.
O ataque funciona quando um usuário desavisado baixa um aplicativo malicioso. A partir daí, uma API sorrateira permite que os invasores saibam quando você está fazendo algo confidencial que eles desejam ver. Isso é então exibido sem quaisquer obstruções para o invasor ver.
Como isso é baseado em pesquisas, não se sabe se algum desses aplicativos está disponível e sendo explorado. Em vez disso, esse tipo de aviso é publicado para informar os usuários e para que o Google possa corrigir rapidamente a possível falha no Android antes que os criminosos a explorem.
“Qualquer coisa que esteja visível quando o aplicativo alvo é aberto pode ser roubado pelo aplicativo malicioso usando o Pixnapping”, disseram os pesquisadores. “Mensagens de bate-papo, códigos 2FA, mensagens de e-mail, etc. são todos vulneráveis, pois são visíveis.”
Eles disseram que a melhor maneira de se proteger disso e de qualquer ataque potencial é “instalar patches do Android assim que estiverem disponíveis”.
A boa notícia é que esse tipo de ataque só funcionaria se você fosse induzido a baixar um aplicativo malicioso. É altamente improvável que isso aconteça se você baixar apenas aplicativos verificados da Google Play Store. Mas a descoberta de tal backdoor no Android é preocupante, por isso é melhor não carregar nenhum aplicativo e instalar atualizações de software do sistema quando estiverem disponíveis.
