Marcos Sena, gerente de SOC da Redbelt Security

Análise da Redbelt Security aponta que a falha permite a captura de informações sensíveis por meio da manipulação do sistema gráfico do dispositivo

São Paulo, novembro de 2025 – Pesquisadores norte-americanos da CMU e da University of Michigan identificaram uma nova técnica de ataque, apelidada de Pixnapping, que afeta modelos de smartphones Android fabricados pelo Google e pela Samsung. A falha, que compromete o sistema gráfico do aparelho, permite que criminosos capturem informações exibidas na tela, como códigos de autenticação em dois fatores (2FA), sem que o usuário perceba.
O ataque explora o SurfaceFlinger, mecanismo interno de renderização de imagens do Android, que mapeia pixel por pixel o conteúdo exibido por outros aplicativos. A técnica, classificada como um tipo de canal lateral, consegue burlar as proteções visuais do sistema operacional e reconstruir informações sensíveis, como códigos temporários do Google Authenticator.
Durante os testes, os pesquisadores demonstraram que cinco modelos de dispositivos das linhas Google e Samsung, com versões entre o Android 13 e o Android 16, foram vulneráveis ao ataque. Apesar de uma correção inicial ter sido disponibilizada em setembro (CVE-2025-48561), o grupo conseguiu contornar o patch e reproduzir o golpe em menos de 30 segundos, obtendo acesso aos códigos 2FA das vítimas.

Como o golpe funciona?
Para que o ataque aconteça, o usuário precisa instalar um aplicativo aparentemente inofensivo, como, por exemplo, uma lanterna ou um leitor de QR Code, que contenha o código malicioso.
Uma vez instalado, o app explora o pipeline de renderização do Android e a API de desfoque de janelas, permitindo capturar pixels em segundo plano, como se alguém conseguisse “espiar” a tela do celular sem precisar de autorização.
Com isso, o criminoso consegue reconstruir o conteúdo de outras aplicações e até identificar quais apps estão instalados no dispositivo.
Os pesquisadores também descobriram que o Pixnapping pode contornar restrições implementadas desde o Android 11, permitindo que um aplicativo verifique a presença de outros apps no sistema, algo que o Google classifica como comportamento bloqueado por padrão. Essa falha foi marcada como “não será corrigida” pela empresa.
Segundo especialistas da Redbelt Security, consultoria especializada em segurança da informação, o caso inaugura uma nova classe de ameaças voltadas à arquitetura gráfica dos sistemas operacionais. “O Pixnapping não depende de permissões tradicionais, como acesso à câmera ou microfone. Ele opera em um nível mais profundo, explorando recursos legítimos do sistema para capturar dados sensíveis”, explica Marcos Sena, gerente de SOC da Redbelt Security

Formas de se proteger:
A Redbelt Security recomenda que os usuários adotem medidas preventivas imediatas para reduzir o risco:
• Mantenha o sistema atualizado: instale patches e atualizações oficiais do Android e dos fabricantes;
• Evite fontes não confiáveis: não baixe aplicativos de lojas ou sites desconhecidos;
• Revise aplicativos instalados: remova apps suspeitos ou pouco utilizados;
• Prefira autenticação mais segura: use chaves físicas ou notificações por push em vez de códigos visuais;
• Monitore suas contas: ative alertas de login e revise dispositivos conectados.
O Google e a Samsung informaram que trabalham em uma atualização mais robusta para mitigar completamente a falha até dezembro.
“Esse tipo de golpe mostra que a fronteira entre vulnerabilidade e engenharia visual está se tornando mais tênue”, completa Sena. “Os criminosos estão explorando até o comportamento dos pixels para obter informações. É fundamental que os usuários mantenham atenção redobrada e que as empresas reforcem as práticas de segurança em camadas.”