A partir do terceiro trimestre de 2025, atualizamos a nossa metodologia estatística baseada na Kaspersky Security Network. Estas alterações afetam todas as seções do relatório, exceto as estatísticas do pacote de instalação, que permanecem inalteradas.
Para ilustrar as tendências entre os períodos de relatório, recalculamos os dados do ano anterior; consequentemente, estes números podem diferir significativamente dos números publicados anteriormente. Todos os relatórios subsequentes serão gerados utilizando esta nova metodologia, garantindo comparações precisas dos dados com as conclusões apresentadas neste artigo.
A Kaspersky Security Network (KSN) é uma rede global para análise de inteligência anônima sobre ameaças, compartilhada voluntariamente pelos usuários da Kaspersky. As estatísticas deste relatório baseiam-se em dados da KSN, salvo indicação explícita em contrário.
O ano em números
De acordo com a Kaspersky Security Network, em 2025:
- Mais de 14 milhões de ataques envolvendo malware, adware ou software móvel indesejado foram bloqueados.
- O adware continuou sendo a ameaça móvel mais prevalente, respondendo por 62% de todas as detecções.
- Mais de 815 mil pacotes de instalação maliciosos foram detectados, incluindo 255 mil Trojans de mobile banking.
Os destaques do ano
Em 2025, os cibercriminosos lançaram uma média de aproximadamente 1,17 milhões de ataques por mês contra dispositivos móveis utilizando software malicioso, publicitário ou indesejado. No total, as soluções da Kaspersky bloquearam 14.059.465 ataques ao longo do ano.
Ataques a usuários móveis da Kaspersky em 2025 (download)
Além do malware mencionado nos relatórios trimestrais anteriores, 2025 viu a descoberta de vários outros Trojans notáveis. Entre eles, no quarto trimestre descobrimos o backdoor pré-instalado do Keenadu. Este malware é integrado ao firmware do dispositivo durante a fase de fabricação. O código malicioso é injetado em libandroid_runtime.so – uma biblioteca central para o ambiente de execução Android Java – permitindo que uma cópia do backdoor entre no espaço de endereço de cada aplicativo em execução no dispositivo. Dependendo do aplicativo específico, o malware pode realizar ações como aumentar as visualizações de anúncios, exibir banners em nome de outros aplicativos ou sequestrar consultas de pesquisa. A funcionalidade do Keenadu é praticamente ilimitada, pois seus módulos maliciosos são baixados dinamicamente e podem ser atualizados remotamente.
Os pesquisadores de segurança cibernética também identificaram o Botnet Kimwolf IoTque visa especificamente caixas de Android TV. Os dispositivos infectados são capazes de lançar ataques DDoS, operar como proxies reversos e executar comandos maliciosos por meio de um shell reverso. Análise subsequente revelado que a funcionalidade de proxy reverso do Kimwolf estava sendo aproveitada por provedores de proxy para usar dispositivos domésticos comprometidos como proxies residenciais.
Outra descoberta notável em 2025 foi a Trojan Luna Spy.
Disfarçado de software antivírus, esse spyware exfiltra senhas de navegadores, credenciais de aplicativos de mensagens, mensagens SMS e registros de chamadas. Além disso, é capaz de gravar áudio pelo microfone do aparelho e capturar vídeo pela câmera. Esta ameaça tinha como alvo principalmente usuários na Rússia.
Estatísticas de ameaças móveis
Foram observados 815.735 novos pacotes de instalação exclusivos em 2025, mostrando uma diminuição em relação ao ano anterior. Embora o declínio em 2024 tenha sido menos pronunciado, no ano passado o número caiu quase um terço.
Detectado malware específico do Android e pacotes de instalação de software indesejado em 2022–2025 (download)
A diminuição geral nos pacotes detectados se deve principalmente a uma redução nos aplicativos categorizados como não-vírus. Por outro lado, o número de Trojans aumentou significativamente, uma tendência claramente refletida nos dados de distribuição abaixo.
Pacotes detectados por tipo
Distribuição* de software móvel detectado por tipo, 2024–2025 (download)
* Os dados do ano anterior podem diferir dos dados publicados anteriormente devido à revisão retrospectiva de alguns veredictos.
Um aumento significativo nos aplicativos Trojan-Banker e Trojan-Spy foi acompanhado por um declínio nos arquivos AdWare e RiskTool. Os Trojans bancários mais prevalentes foram Mamont (representando 49,8% dos aplicativos) e Creduz (22,5%). Liderando a categoria de adware persistente estavam MobiDash (39%), Adlo (27%) e HiddenAd (20%).
Parcela* de usuários atacados por cada tipo de malware ou software indesejado entre todos os usuários das soluções móveis da Kaspersky atacados em 2024–2025 (download)
* O total pode exceder 100% se os mesmos usuários encontrarem vários tipos de ataque.
O malware Trojan-Banker teve um aumento significativo em 2025, não apenas em termos de contagem de arquivos únicos, mas também no número total de ataques. No entanto, esta categoria ficou em quarto lugar no geral, muito atrás da categoria de arquivos Trojan, que foi dominada por várias modificações do Triada e do Fakemoney.
Os 20 principais tipos de malware móvel
Observe que as classificações de malware abaixo excluem programas de risco e aplicativos potencialmente indesejados, como RiskTool e adware.
| Veredicto | % 2024* | % 2025* | Diferença em pp | Mudança na classificação |
| Trojan.AndroidOS.Triada.fe | 0,04 | 9,84 | +9,80 | |
| Trojan.AndroidOS.Triada.gn | 2,94 | 8.14 | +5,21 | +6 |
| Trojan.AndroidOS.Fakemoney.v | 7,46 | 7,97 | +0,51 | +1 |
| DangerousObject.Multi.Generic | 7,73 | 5,83 | –1,91 | –2 |
| Trojan.AndroidOS.Triada.ii | 0,00 | 5,25 | +5,25 | |
| Trojan-Banker.AndroidOS.Mamont.da | 0,10 | 4.12 | +4,02 | |
| Trojan.AndroidOS.Triada.ga | 10.56 | 3,75 | –6,81 | –6 |
| Trojan-Banker.AndroidOS.Mamont.db | 0,01 | 3,53 | +3,51 | |
| Backdoor.AndroidOS.Triada.z | 0,00 | 2,79 | +2,79 | |
| Trojan-Banker.AndroidOS.Coper.c | 0,81 | 2,54 | +1,72 | +35 |
| Trojan-Clicker.AndroidOS.Agent.bh | 0,34 | 2,48 | +2,14 | +74 |
| Trojan-Dropper.Linux.Agent.gen | 1,82 | 2,37 | +0,55 | +4 |
| Trojan.AndroidOS.Boogr.gsh | 5.41 | 2.06 | –3,35 | –8 |
| DangerousObject.AndroidOS.GenericML | 2,42 | 1,97 | –0,45 | –3 |
| Trojan.AndroidOS.Triada.gs | 3,69 | 1,93 | –1,76 | –9 |
| Trojan-Downloader.AndroidOS.Agent.no | 0,00 | 1,87 | +1,87 | |
| Trojan.AndroidOS.Triada.hf | 0,00 | 1,75 | +1,75 | |
| Trojan-Banker.AndroidOS.Mamont.bc | 1.13 | 1,65 | +0,51 | +8 |
| Trojan.AndroidOS.Generic. | 2.13 | 1,47 | –0,66 | –6 |
| Trojan.AndroidOS.Triada.hy | 0,00 | 1,44 | +1,44 |
*Usuários únicos que encontraram esse malware como uma porcentagem de todos os usuários atacados das soluções móveis da Kaspersky.
A lista é amplamente dominada pela família Triada, que é distribuída por meio de modificações maliciosas de aplicativos de mensagens populares. Outro vetor de infecção envolve enganar as vítimas para que instalem um aplicativo de mensagens oficial em um “ambiente virtual personalizado” que supostamente oferece opções de configuração aprimoradas. Os aplicativos fraudulentos Fakemoney, que prometem oportunidades de investimento fraudulentas ou pagamentos falsos, continuam a atingir os usuários com frequência, ocupando o terceiro lugar em nossas estatísticas. Enquanto isso, as variantes do Trojan bancário Mamont ocupam a 6ª, 8ª e 18ª posições em número de ataques. O backdoor Triada pré-instalado no firmware de alguns dispositivos alcançou a 9ª posição.
Malware específico da região
Esta seção descreve famílias de malware cujas campanhas de ataque estão concentradas em países específicos.
| Veredicto | País* | %** |
| Trojan-Banker.AndroidOS.Coper.a | Turquia | 95,74 |
| Trojan-Dropper.AndroidOS.Hqwar.bj | Turquia | 94,96 |
| Trojan.AndroidOS.Thamera.bb | Índia | 94,71 |
| Trojan-Proxy.AndroidOS.Agent.q | Alemanha | 93,70 |
| Trojan-Banker.AndroidOS.Coper.c | Turquia | 93,42 |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | Índia | 92,44 |
| Trojan-Banker.AndroidOS.Rewardsteal.jp | Índia | 92,31 |
| Trojan-Banker.AndroidOS.Rewardsteal.ib | Índia | 91,91 |
| Trojan-Dropper.AndroidOS.Rewardsteal.h | Índia | 91,45 |
| Trojan-Banker.AndroidOS.Rewardsteal.nk | Índia | 90,98 |
| Trojan-Dropper.AndroidOS.Agent.sm | Turquia | 90,34 |
| Trojan-Dropper.AndroidOS.Rewardsteal.ac | Índia | 89,38 |
| Trojan-Banker.AndroidOS.Rewardsteal.oa | Índia | 89,18 |
| Trojan-Banker.AndroidOS.Rewardsteal.ma | Índia | 88,58 |
| Trojan-Spy.AndroidOS.SmForw.ko | Índia | 88,48 |
| Trojan-Dropper.AndroidOS.Pylcasa.c | Brasil | 88,25 |
| Trojan-Dropper.AndroidOS.Hqwar.bf | Turquia | 88,15 |
| Trojan-Banker.AndroidOS.Agent.pp | Índia | 87,85 |
* País onde o malware estava mais ativo.
**Usuários únicos que encontraram o malware no país indicado como porcentagem de todos os usuários das soluções móveis da Kaspersky que foram atacados pelo mesmo malware.
Türkiye viu a maior concentração de ataques de Trojans bancários Coper e seus droppers Hqwar associados. Na Índia, os Trojans Rewardsteal continuaram a proliferar, exfiltrando os dados de pagamento das vítimas sob o pretexto de ofertas monetárias. Além disso, a Índia viu um ressurgimento do Trojan Thamera, que observámos anteriormente atacando frequentemente os utilizadores em 2023. Este malware sequestra o dispositivo da vítima para registar ilicitamente contas de redes sociais.
A campanha Trojan-Proxy.AndroidOS.Agent.q, concentrada na Alemanha, utilizou um aplicativo de terceiros comprometido, projetado para rastrear descontos em uma importante rede varejista alemã. Os invasores monetizaram essas infecções por meio do uso não autorizado dos dispositivos das vítimas como proxies residenciais.
No Brasil, 2025 viu uma concentração de ataques de Trojan Pylcasa. Este malware é usado principalmente para redirecionar usuários para páginas de phishing ou sites ilícitos de cassino online.
Trojans bancários móveis
O número de novos pacotes de instalação de Trojans bancários aumentou para 255.090, representando um aumento de várias vezes em relação aos anos anteriores.
Pacotes de instalação de cavalos de Troia bancários móveis detectados pela Kaspersky em 2022–2025 (download)
Notavelmente, o número total de ataques envolvendo banqueiros cresceu 1,5 vezes, mantendo a mesma taxa de crescimento observada no ano anterior. Dado o aumento acentuado no número de pacotes maliciosos únicos, podemos concluir que estes ataques geram lucros significativos para os cibercriminosos. Isto é ainda evidenciado pelo facto de os agentes de ameaças continuarem a diversificar os seus canais de distribuição e a acelerar a produção de novas variantes, num esforço para evitar a detecção por soluções de segurança.
Os 10 melhores banqueiros móveis
| Veredicto | % 2024* | % 2025* | Diferença em pp | Mudança na classificação |
| Trojan-Banker.AndroidOS.Mamont.da | 0,86 | 15,65 | +14,79 | +28 |
| Trojan-Banker.AndroidOS.Mamont.db | 0,12 | 13.41 | +13,29 | |
| Trojan-Banker.AndroidOS.Coper.c | 7.19 | 9,65 | +2,46 | +2 |
| Trojan-Banker.AndroidOS.Mamont.bc | 10.03 | 6.26 | –3,77 | –3 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0,00 | 4.10 | +4,10 | |
| Trojan-Banker.AndroidOS.Coper.a | 9.04 | 4h00 | –5.04 | –4 |
| Trojan-Banker.AndroidOS.Mamont.ek | 0,00 | 3,73 | +3,73 | |
| Trojan-Banker.AndroidOS.Mamont.cb | 0,64 | 3.04 | +2,40 | +26 |
| Trojan-Banker.AndroidOS.Faketoken.pac | 2.17 | 2,95 | +0,77 | +5 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 2,75 | +2,75 |
*Usuários únicos que encontraram esse malware como porcentagem de todos os usuários das soluções móveis da Kaspersky que encontraram ameaças bancárias.
Em 2025, observamos um grande aumento na atividade dos Trojans bancários Mamont. Eles representaram aproximadamente metade de todos os novos aplicativos em sua categoria e também foram utilizados em metade de todos os ataques de Trojan bancários.
Conclusão
O ano de 2025 viu uma tendência contínua de declínio no total de pacotes exclusivos de instalação de software indesejado. No entanto, notámos um aumento significativo ano após ano em ameaças específicas – mais notavelmente trojans bancários móveis e spyware – embora o adware tenha continuado a ser a ameaça global mais frequentemente detectada.
Entre as ameaças móveis detectadas, temos visto um aumento na prevalência de backdoors pré-instalados, como Triada e Keenadu. Consistente com as descobertas do ano passado, certas famílias de malware móvel continuam a proliferar através das lojas de aplicativos oficiais. Por fim, observamos um interesse crescente entre os agentes de ameaças em utilizar dispositivos comprometidos como proxies.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
Adware,Backdoor,Google Android,Google Play,Keenadu,Descrições de malware,Estatísticas de malware,Mamont,Malware móvel,Triada,Trojan,Trojan Banker,Trojan-Spy
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.