Autores
Evolução de ameaças cibernéticas no terceiro trimestre de 2025. Estatísticas de ameaças em dispositivos móveis
Evolução de ameaças cibernéticas no terceiro trimestre de 2025. Estatísticas de computadores pessoais
Introdução
No 3º trimestre de 2025, alteramos a metodologia para calcular as estatísticas baseadas na Kaspersky Security Network (KSN). Essas alterações impactaram todas as seções do relatório, exceto a estatística de pacotes de instalação, que permaneceu inalterada.
Para apresentar a dinâmica de mudanças entre períodos cobertos por diferentes relatórios, também recalculamos os dados de trimestres anteriores. Por esse motivo, esses dados podem divergir significativamente dos números publicados anteriormente. Os relatórios futuros serão elaborados com a nova metodologia, permitindo comparações adequadas com os dados apresentados neste artigo.
A Kaspersky Security Network (KSN) é uma rede global que analisa informações sobre ameaças, fornecidas de forma anônima e voluntária pelos usuários das soluções Kaspersky. As estatísticas deste relatório baseiam-se nos dados da KSN, salvo indicação em contrário.
Números do trimestre
De acordo com a Kaspersky Security Network, no 3º trimestre de 2025:
- Neutralizamos 3.470.000 ataques que utilizavam software móvel malicioso, adware ou software potencialmente indesejado.
- Entre os programas maliciosos para dispositivos móveis, os trojans foram a ameaça mais comum, afetando 15,78% do total de usuários atacados que utilizam soluções Kaspersky.
- Foram detectados mais de 197.000 pacotes de instalação maliciosos, dos quais:
- 52.723 pacotes eram Trojans bancários móveis;
- 1.564 eram trojans móveis do tipo ransomware.
Destaques do trimestre
No 3º trimestre, o número de ataques a dispositivos móveis com software malicioso, adware ou software potencialmente indesejado, calculado conforme as novas diretrizes, atingiu 3,47 milhões. O valor ficou ligeiramente abaixo dos 3,51 milhões registrados no período anterior.
Número de ataques a usuários de soluções móveis da Kaspersky, 2º trim. de 2024 – 3º trim. de 2025 (download)
No início do trimestre, um usuário relatou a presença de anúncios em todos os navegadores do smartphone. Realizamos uma investigação e identificamos uma nova versão da backdoor pré-instalada BADBOX. Essa backdoor se baseia em um carregador de múltiplos estágios localizado na biblioteca maliciosa librescache.so, carregada em memória pelo framework do sistema. Com isso, uma cópia do trojan era injetada em cada processo executado no dispositivo.
Outra descoberta relevante foi o Trojan-Downloader.AndroidOS.Agent.no, embutido em mods de aplicativos de mensagens e outro software. Esse componente baixava para o dispositivo o malware Trojan-Clicker.AndroidOS.Agent.bl, que, por sua vez, recebia de um servidor uma URL de publicidade, abria-a em uma janela WebView invisível e, com algoritmos de machine learning, localizava e clicava no botão de fechamento. Assim, os golpistas passavam a usar o dispositivo da vítima para fraudar métricas de visualização de anúncios.
Estatísticas de ameaças móveis
No 3º trimestre, as soluções Kaspersky detectaram 197.738 amostras de software malicioso e potencialmente indesejado para Android, 55.000 a mais do que no período anterior.
Número de pacotes de instalação maliciosos e potencialmente indesejados detectados, 3º trim. de 2024 – 3º trim. de 2025 (download)
A distribuição por tipo dos pacotes detectados foi a seguinte:
Programas móveis detectados por tipo, 2º* e 3º trimestres de 2025 (download)
* As alterações na metodologia de cálculo não afetam essa métrica, embora os dados do trimestre anterior possam apresentar pequenas diferenças em relação aos publicados antes devido à revisão retrospectiva de alguns detecçãos.
A participação dos trojans bancários teve uma leve redução, resultado do aumento de outros tipos de pacotes maliciosos, e não de uma queda em seu número absoluto. Ainda assim, os trojans bancários (entre os quais continuam predominando os pacotes da família Mamont) mantêm a primeira posição. Soma-se a isso o crescimento no número de trojans do tipo dropper que, neste caso, são majoritariamente droppers de trojans bancários.
Proporção* de usuários atacados por um tipo específico de software malicioso ou potencialmente indesejado, em relação ao total de usuários de produtos móveis Kaspersky atacados, 2º e 3º trimestres de 2025 (download)
* O total pode superar 100% se os mesmos usuários enfrentaram múltiplos tipos de ataques.
De acordo com o número de usuários atacados, os aplicativos de publicidade estão em primeiro lugar com ampla margem acima do segundo. Os mais comuns são HiddenAd (56,3%) e MobiDash (27,4%). Em segundo lugar, existem aplicativos indesejados classificados como RiskTool, cujo crescimento se deve em grande parte à disseminação do módulo Revpn, que monetiza o acesso à internet do usuário transformando seu dispositivo em um ponto de saída VPN. Como esperado, os trojans mais comuns continuam sendo Triada (55,8%) e Fakemoney (24,6%). A porcentagem de usuários que enfrentaram essas ameaças não apresentou variações significativas.
TOP 20 de aplicativos móveis maliciosos
O ranking a seguir de aplicativos maliciosos não inclui software potencialmente perigoso ou indesejado, como RiskTool e adware.
| Detecção | %* Segundo trimestre de 2025 | %* Terceiro trimestre de 2025 | Diferença em p.p. | Mudança de posição |
| Trojan.AndroidOS.Triada.ii | 0,00 | 13,78 | +13,78 | |
| Trojan.AndroidOS.Triada.fe | 12,54 | 10,32 | -2,22 | -1 |
| Trojan.AndroidOS.Triada.gn | 9,49 | 8,56 | -0,93 | -1 |
| Trojan.AndroidOS.Fakemoney.v | 8,88 | 6,30 | -2,59 | -1 |
| Backdoor.AndroidOS.Triada.z | 3,75 | 4,53 | +0,77 | +1 |
| DangerousObject.Multi.Generic. | 4,39 | 4,52 | +0,13 | -1 |
| Trojan-Banker.AndroidOS.Coper.c | 3,20 | 2,86 | -0,35 | +1 |
| Trojan.AndroidOS.Triada.if | 0,00 | 2,82 | +2,82 | |
| Trojan-Dropper.Linux.Agent.gen | 3,07 | 2,64 | -0,43 | +1 |
| Trojan-Dropper.AndroidOS.Hqwar.cq | 0,37 | 2,52 | +2,15 | +60 |
| Trojan.AndroidOS.Triada.hf | 2,26 | 2,41 | +0,14 | +2 |
| Trojan.AndroidOS.Triada.ig | 0,00 | 2,19 | +2,19 | |
| Backdoor.AndroidOS.Triada.ab | 0,00 | 2,00 | +2,00 | |
| Trojan-Banker.AndroidOS.Mamont.da | 5,22 | 1,82 | -3,40 | -10 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 1,80 | +1,80 | |
| Trojan.AndroidOS.Triada.ga | 3,01 | 1,71 | -1,29 | -5 |
| Trojan.AndroidOS.Boogr.gsh | 1,60 | 1,68 | +0,08 | 0 |
| Trojan-Downloader.AndroidOS.Agent.nq | 0,00 | 1,63 | +1,63 | |
| Trojan.AndroidOS.Triada.hy | 3,29 | 1,62 | -1,67 | -12 |
| Trojan-Clicker.AndroidOS.Agent.bh | 1,32 | 1,56 | +0,24 | 0 |
* Porcentagem de usuários únicos que enfrentaram essa ameaça em relação ao total de usuários de soluções móveis Kaspersky atacados.
As primeiras posições do ranking de malware mais disseminado são ocupadas por versões modificadas dos aplicativos de mensagens Triada.ii, Triada.fe, Triada.gn e outros. A backdoor pré-instalada Triada.z ficou em quinto lugar, atrás dos aplicativos Fakemoney, que coletam dados pessoais dos usuários sob o pretexto de processar pagamentos ou serviços financeiros — todos falsos. O dropper Agent.gen, em nono lugar, é um arquivo ELF ofuscado associado ao trojan bancário Coper.c, posicionado logo após o DangerousObject.Multi.Generic.
Malware regional
Nesta seção, descrevemos programas maliciosos cujo principal alvo são usuários de países específicos.
| Detecção | País* | %** |
| Trojan-Dropper.AndroidOS.Hqwar.bj | Turquia | 97,22 |
| Trojan-Banker.AndroidOS.Coper.c | Turquia | 96,35 |
| Trojan-Dropper.AndroidOS.Agent.sm | Turquia | 95,10 |
| Trojan-Banker.AndroidOS.Coper.a | Turquia | 95,06 |
| Trojan-Dropper.AndroidOS.Agent.uq | Índia | 92,20 |
| Trojan-Banker.AndroidOS.Rewardsteal.qh | Índia | 91,56 |
| Trojan-Banker.AndroidOS.Agent.wb | Índia | 85,89 |
| Trojan-Dropper.AndroidOS.Rewardsteal.ab | Índia | 84,14 |
| Trojan-Dropper.AndroidOS.Banker.bd | Índia | 82,84 |
| Backdoor.AndroidOS.Teledoor.a | Irã | 81,40 |
| Trojan-Dropper.AndroidOS.Hqwar.gy | Turquia | 80,37 |
| Trojan-Dropper.AndroidOS.Banker.ac | Índia | 78,55 |
| Trojan-Ransom.AndroidOS.Rkor.ii | Alemanha | 76,90 |
| Trojan-Dropper.AndroidOS.Banker.bg | Índia | 75,12 |
| Trojan-Banker.AndroidOS.UdangaSteal.b | Indonésia | 75,00 |
| Trojan-Dropper.AndroidOS.Banker.bc | Índia | 74,73 |
| Backdoor.AndroidOS.Teledoor.c | Irã | 70,33 |
* País donde el programa malicioso está más activo.
** Porcentagem de usuários únicos que enfrentaram essa variante do trojan no país em relação ao total de usuários de soluções Kaspersky atacados por essa variante.
Na Turquia, os trojans bancários continuam ativos, especialmente o Coper. Os usuários na Índia também são alvos de invasores que distribuem esse tipo de software. Em particular, o trojan bancário Rewardsteal está ativo no país. No Irã, o backdoor Teledoor segue em atividade, embutido em um cliente falso do Telegram.
Chama atenção o aumento acentuado dos ataques do trojan de ransomware Rkor na Alemanha. Em trimestres anteriores, sua atividade foi muito menor, possivelmente porque os golpistas encontraram uma nova forma de distribuir aplicativos maliciosos entre os usuários.
Trojans bancários móveis
No 3º trimestre de 2025, foram detectados 52.723 pacotes de instalação de trojans bancários móveis, 10.000 a mais do que no 2º trimestre.
Número de pacotes de instalação de trojans bancários móveis detectados pela Kaspersky, 3º trim. de 2024 – 3º trim. de 2025 (download)
A participação do trojan Mamont no total de trojans bancários aumentou ligeiramente, atingindo 61,85%. Contudo, em termos de proporção de usuários atacados, o Coper ocupou a primeira posição, pois a mesma variante foi usada na maioria dos ataques. As variantes do Mamont ocuparam várias posições a partir da segunda, já que versões diferentes foram empregadas em cada ataque. Ainda assim, o número total de usuários atacados pela família Mamont supera o do Coper.
TOP 10 de trojans bancários móveis
| Detecção | %* Segundo trimestre de 2025 | %* Terceiro trimestre de 2025 | Diferença em p.p. | Mudança de posição |
| Trojan-Banker.AndroidOS.Coper.c | 13,42 | 13,48 | +0,07 | +1 |
| Trojan-Banker.AndroidOS.Mamont.da | 21,86 | 8,57 | -13,28 | -1 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 8,48 | +8,48 | |
| Trojan-Banker.AndroidOS.Mamont.gy | 0,00 | 6,90 | +6,90 | |
| Trojan-Banker.AndroidOS.Mamont.hl | 0,00 | 4,97 | +4,97 | |
| Trojan-Banker.AndroidOS.Agent.ws | 0,00 | 4,02 | +4,02 | |
| Trojan-Banker.AndroidOS.Mamont.gg | 0,40 | 3,41 | +3,01 | +35 |
| Trojan-Banker.AndroidOS.Mamont.cb | 3,03 | 3,31 | +0,29 | +5 |
| Trojan-Banker.AndroidOS.Creduz.z | 0,17 | 3,30 | +3,13 | +58 |
| Trojan-Banker.AndroidOS.Mamont.fz | 0,07 | 3,02 | +2,95 | +86 |
* Porcentagem de usuários únicos que enfrentaram essa ameaça em relação ao total de usuários de soluções de segurança móveis Kaspersky atacados por trojans bancários.
Trojans de ransomware para dispositivos móveis
Devido à recente intensificação das atividades de trojans de ransomware móveis na Alemanha, mencionada na seção “Malware regional”, incluímos também estatísticas sobre esse tipo de ameaça. No 3º trimestre, o número de pacotes de instalação de trojans de ransomware mais que dobrou, atingindo 1.564.
| Detecção | %* Segundo trimestre de 2025 | %* Terceiro trimestre de 2025 | Diferença em p.p. | Mudança de posição |
| Trojan-Ransom.AndroidOS.Rkor.ii | 7,23 | 24,42 | +17,19 | +10 |
| Trojan-Ransom.AndroidOS.Rkor.pac | 0,27 | 16,72 | +16,45 | +68 |
| Trojan-Ransom.AndroidOS.Congur.aa | 30,89 | 16,46 | -14,44 | -1 |
| Trojan-Ransom.AndroidOS.Svpeng.ac | 30,98 | 16,39 | -14,59 | -3 |
| Trojan-Ransom.AndroidOS.Rkor.it | 0,00 | 10,09 | +10,09 | |
| Trojan-Ransom.AndroidOS.Congur.cw | 15,71 | 9,69 | -6,03 | -3 |
| Trojan-Ransom.AndroidOS.Congur.ap | 15,36 | 9,16 | -6,20 | -3 |
| Trojan-Ransom.AndroidOS.Small.cj | 14,91 | 8,49 | -6,42 | -3 |
| Trojan-Ransom.AndroidOS.Svpeng.snt | 13,04 | 8,10 | -4,94 | -2 |
| Trojan-Ransom.AndroidOS.Svpeng.ah | 13,13 | 7,63 | -5,49 | -4 |
* Porcentagem de usuários únicos que enfrentaram esse malware em relação ao total de usuários de soluções de segurança móveis Kaspersky atacados por trojans de ransomware.
Autores
Evolução de ameaças cibernéticas no terceiro trimestre de 2025. Estatísticas de ameaças em dispositivos móveis