Autores
Evolução das ameaças à segurança da informação no primeiro trimestre de 2026. Estatísticas de dispositivos móveis
Evolução das ameaças à segurança da informação no primeiro trimestre de 2026. Estatísticas de computadores pessoais
No 3º trimestre de 2025, alteramos a metodologia para calcular as estatísticas baseadas na Kaspersky Security Network (KSN). Essas alterações impactaram todas as seções do relatório, exceto a estatística de pacotes de instalação, que permaneceu inalterada.
Para apresentar a dinâmica de mudanças entre períodos cobertos por diferentes relatórios, também recalculamos os dados de trimestres anteriores. Por esse motivo, esses dados podem divergir significativamente dos números publicados anteriormente. Os relatórios futuros serão elaborados com a nova metodologia, permitindo comparações adequadas com os dados apresentados neste artigo.
A Kaspersky Security Network (KSN) é uma rede global que analisa informações sobre ameaças, fornecidas de forma anônima e voluntária pelos usuários das soluções Kaspersky. As estatísticas deste relatório baseiam-se nos dados da KSN, salvo indicação em contrário.
Números do trimestre
Segundo dados da Kaspersky Security Network, no primeiro trimestre de 2026:
- Foram evitados mais de 2,67 milhões de ataques com uso de software malicioso, publicitário ou indesejado para dispositivos móveis.
- Entre os malwares para dispositivos móveis, a ameaça mais difundida foram os trojans da classe Trojan-Banker, com 10,86% de todas as ameaças detectadas.
- Foram descobertos mais de 306 mil pacotes de instalação maliciosos, dos quais:
- 162.275 pacotes correspondiam a trojans bancários para dispositivos móveis;
- 439 pacotes correspondiam a trojans de extorsão para dispositivos móveis.
Particularidades do trimestre
O número de ataques contra dispositivos móveis com uso de software malicioso, publicitário ou indesejado caiu no primeiro trimestre para 2.676.328, em comparação com 3.239.244 no trimestre anterior.
Quantidade de ataques contra usuários das soluções para dispositivos móveis da Kaspersky, Q3 2024 — Q1 2026 (download)
A redução no volume total de ataques decorre, sobretudo, da queda nos ataques envolvendo adwares e aplicativos RiskTool. No entanto, isso não indica uma redução do risco para os usuários de dispositivos móveis: a seguir, demonstraremos que o número de usuários únicos atacados por essas ameaças não mudou de forma tão significativa.
No primeiro trimestre, analistas da Synthient encontraram uma ligação entre o conhecido botnet Kimwolf e a rede proxy IPIDEA. Em seguida, essa rede foi desativada com a participação do GTIG.
No início de 2026, descobrimos diversos aplicativos na Google Play e na App Store que continham uma nova versão do stealer de criptomoedas SparkCat.
Nos aplicativos Android infectados, foi embutido um código do trojan cuidadosamente ocultado. Uma biblioteca maliciosa ofuscada, escrita em Rust, era desofuscada por meio de uma máquina virtual personalizada, criada pelos cibercriminosos e estruturada de forma semelhante ao Dalvik. Na versão para iOS, o malware também sofreu algumas alterações; em particular, para o reconhecimento de texto (OCR), os criminosos passaram a usar o Vision, framework proprietário da Apple.
Estatísticas de ameaças para dispositivos móveis
O número de amostras de malware para Android apresentou leve crescimento em relação ao indicador do quarto trimestre de 2025, atingindo 306.070.
Quantidade de pacotes de instalação maliciosos e potencialmente indesejados detectados, Q1 2025 — Q1 2026 (download)
A distribuição por tipo dos pacotes de instalação detectados é a seguinte:
Distribuição por tipo dos programas para dispositivos móveis detectados, Q4 2025* — Q1 2026 (download)
* Os dados do trimestre anterior podem apresentar pequenas divergências em relação aos publicados anteriormente, devido à revisão retrospectiva de alguns veredictos.
Os criminosos aumentaram novamente a produção de novos trojans bancários, fazendo com que essa categoria superasse as demais em volume, representando mais da metade do total de pacotes de instalação.
Porcentagem* dos usuários atacados por determinado tipo de programa malicioso ou potencialmente indesejado em relação ao total de usuários dos produtos para dispositivos móveis da Kaspersky que foram atacados, Q4 2025 – Q1 2026 (download)
* A soma pode ser superior a 100% caso os mesmos usuários tenham enfrentado vários tipos de ataques.
Após o aumento do número de pacotes de instalação de trojans bancários, cresceu também o número de ataques com seu uso, fazendo com que os aplicativos Trojan-Banker subissem uma posição na quantidade de usuários atacados. Os trojans bancários mais populares foram as variantes do Mamont (73,5%). Os demais usuários se depararam com Faketoken, Rewardsteal, Creduz e outras famílias.
Ainda assim, em número de usuários atacados, os trojans bancários permanecem atrás dos adwares e dos aplicativos RiskTool. Apesar da pequena redução na porcentagem dos pacotes de instalação dos aplicativos desses dois tipos, eles continuam ocupando as duas primeiras posições em quantidade de ataques. Entre os aplicativos publicitários, os usuários encontraram com mais frequência o HiddenAd (44,9%) e o MobiDash (38,1%); entre os RiskTool, o Revpn (67%) e o SpyLoan (20,5%).
TOP 20 programas maliciosos para dispositivos móveis
No ranking de programas maliciosos apresentado a seguir, não estão incluídos programas potencialmente perigosos ou indesejados, como RiskTool e softwares publicitários.
| Veredicto | %* Q4 2025 | %* Q1 2026 | Diferença em p.p. | Variação de posição |
| Backdoor.AndroidOS.Triada.ag | 2,62 | 7,09 | +4,48 | +10 |
| DangerousObject.Multi.Generic. | 6,75 | 5,84 | -0,92 | -1 |
| DangerousObject.AndroidOS.GenericML. | 3,52 | 5,51 | +1,99 | +6 |
| Trojan-Banker.AndroidOS.Mamont.jo | 0,00 | 5,28 | +5,28 | |
| Trojan.AndroidOS.Fakemoney.v | 5,40 | 3,44 | -1,96 | -1 |
| Trojan-Downloader.AndroidOS.Keenadu.l | 0,00 | 3,35 | +3,35 | |
| Trojan-Banker.AndroidOS.Mamont.jx | 0,00 | 3,09 | +3,09 | |
| Backdoor.AndroidOS.Triada.z | 4,87 | 3,08 | -1,79 | -2 |
| Trojan.AndroidOS.Triada.fe | 5,01 | 2,98 | -2,02 | -4 |
| Backdoor.AndroidOS.Keenadu.a | 2,07 | 2,73 | +0,66 | +6 |
| Trojan-Banker.AndroidOS.Mamont.jg | 0,34 | 2,37 | +2,03 | |
| Trojan.AndroidOS.Triada.hf | 2,15 | 2,23 | +0,07 | +3 |
| Trojan.AndroidOS.Boogr.gsh | 2,35 | 2,15 | -0,20 | 0 |
| Trojan.AndroidOS.Triada.ii | 5,68 | 2,07 | -3,60 | -11 |
| Backdoor.AndroidOS.Triada.ae | 1,91 | 1,76 | -0,16 | +3 |
| Backdoor.AndroidOS.Triada.ab | 1,79 | 1,72 | -0,08 | +3 |
| Trojan.AndroidOS.Triada.gn | 2,38 | 1,58 | -0,80 | -5 |
| Trojan-Banker.AndroidOS.Mamont.gg | 1,56 | 1,50 | -0,06 | +2 |
| Trojan.AndroidOS.Triada.ga | 1,48 | 1,50 | +0,01 | +4 |
| Backdoor.AndroidOS.Triada.ad | 0,53 | 1,40 | +0,87 | +44 |
* Porcentagem dos usuários únicos que se depararam com este malware em relação ao total de usuários das soluções para dispositivos móveis da Kaspersky que foram atacados.
O backdoor pré-instalado Triada.ag assumiu a primeira posição, sendo semelhante à versão mais antiga, Triada.z, descrita anteriormente por nós. Uma vez que a mesma modificação do trojan está pré-instalada em diferentes dispositivos, o número de usuários atacados por ele se acumula. Dessa forma, o Triada supera até mesmo o trojan bancário Mamont, pois os usuários foram alvos de diferentes modificações deste último, o que dilui sua participação entre várias posições do ranking. Também entraram no TOP outras variantes do backdoor pré-instalado Triada (Triada.z, Triada.ae, Triada.ab, Triada.ad). Além delas, observamos a crescente atividade do backdoor Keenadu.a. Também se mantêm no ranking diversas modificações do trojan Triada embutido em aplicativos.
Trojans bancários para dispositivos móveis
No primeiro trimestre de 2026, o volume de trojans bancários para dispositivos móveis seguiu a tendência de alta, atingindo 162.275 pacotes, um aumento de 50% em relação ao período anterior.
Quantidade de pacotes de instalação de trojans bancários para dispositivos móveis detectados pela Kaspersky, Q1 2025 — Q1 2026 (download)
Observamos um ritmo de crescimento semelhante também no trimestre passado. Naquela ocasião, a quantidade de aplicativos de trojans bancários também aumentou 150%. A grande maioria dos pacotes consiste em variações do Mamont, que também domina a lista dos bankers mais difundidos em número de usuários atacados.
TOP 10 bankers para dispositivos móveis
| Veredicto | %* Q4 2025 | %* Q1 2026 | Diferença em p.p. | Variação de posição |
| Trojan-Banker.AndroidOS.Mamont.jo | 0,00 | 15,75 | +15,75 | |
| Trojan-Banker.AndroidOS.Mamont.jx | 0,00 | 9,22 | +9,22 | |
| Trojan-Banker.AndroidOS.Mamont.jg | 1,47 | 7,08 | +5,61 | +24 |
| Trojan-Banker.AndroidOS.Mamont.gg | 6,79 | 4,48 | -2,32 | -3 |
| Trojan-Banker.AndroidOS.Mamont.ks | 0,00 | 3,98 | +3,98 | |
| Trojan-Banker.AndroidOS.Agent.ws | 6,03 | 3,78 | -2,25 | -2 |
| Trojan-Banker.AndroidOS.Mamont.hl | 4,30 | 3,27 | -1,03 | +1 |
| Trojan-Banker.AndroidOS.Mamont.iv | 6,00 | 3,08 | -2,92 | -3 |
| Trojan-Banker.AndroidOS.Mamont.jb | 3,93 | 3,07 | -0,86 | +1 |
| Trojan-Banker.AndroidOS.Mamont.jv | 0,00 | 2,79 | +2,79 |
* Porcentagem dos usuários únicos que se depararam com este malware em relação ao total de usuários das soluções para dispositivos móveis da Kaspersky atacados por ameaças bancárias.
Evolução das ameaças à segurança da informação no primeiro trimestre de 2026. Estatísticas de dispositivos móveis