AO VIVO
01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises /// 01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises ///
Vulnerabilidades

Android 0-day CVE-2026-21385: Google Confirma Exploração Ativa — Atualize Agora

EQUIPE CYBERBOX THREAT INTEL · 02 de março de 2026 · 5 min de leitura

O Google confirmou em 01 de março de 2026 que a vulnerabilidade CVE-2026-21385 no kernel Android está sendo explorada ativamente em ataques direcionados. A falha, classificada com CVSS 8.8, permite elevação de privilégios do processo de app para root sem qualquer interação do usuário após a instalação inicial.

Grupos de threat intelligence atribuem a exploração a pelo menos dois atores: um grupo de espionagem patrocinado por estado e um broker de acesso inicial comercial que vende o exploit via fóruns da dark web.

Detalhes Técnicos da Vulnerabilidade

A falha reside no subsistema de gerenciamento de memória do kernel Linux (versões 5.15 LTS a 6.8). Especificamente, um use-after-free no driver ion_heap permite que um processo no espaço do usuário corrompa estruturas de dados do kernel.

  • Afeta Android 12, 13, 14 e 15 (todas as arquiteturas ARM64)
  • Exploit funciona sem root prévio — apenas a instalação de um APK malicioso é necessária
  • Combinação com CVE-2026-21387 (WebView RCE) cria cadeia zero-click via navegador
  • Tempo de exploração bem-sucedida: menos de 8 segundos em dispositivos testados
"Esta é a combinação mais grave que vimos em Android desde o Stagefright. A cadeia zero-click via WebView + escalação de privilégio coloca bilhões de dispositivos em risco imediato."

— Equipe CYBERBOX Threat Intel

Impacto no Brasil

Dados da telemetria da CYBERBOX indicam que o Brasil é o terceiro país com maior volume de tentativas de exploração desta CVE — atrás apenas da Índia e da Indonésia. Alvos prioritários identificados:

  • Jornalistas e ativistas de direitos humanos
  • Funcionários de instituições financeiras com acesso a aplicativos bancários
  • Executivos de empresas de tecnologia e telecomunicações
  • Membros de órgãos governamentais e legislativos estaduais

Verificação de Compromisso

# Verificar processos com acesso root não autorizado:
adb shell ps -A | grep " root "

# Pacotes suspeitos associados ao exploit:
com.google.android.gm.update  # Falso update Gmail
com.android.systemui.theme     # Falso tema do sistema

Mitigação

  • Atualizar para o Android Security Patch Level de março 2026 (2026-03-05)
  • Desativar instalação de apps de fontes desconhecidas (sideloading)
  • Habilitar Google Play Protect e verificar apps instalados
  • Considerar factory reset em dispositivos potencialmente comprometidos
  • Implementar MDM com detecção de root em dispositivos corporativos
MITRE ATT&CK — Técnicas Observadas
T1404 Exploitation for Privilege Escalation T1437.001 Web Protocols T1421 System Network Connections Discovery T1533 Data from Local System T1406 Obfuscated Files or Information
Tags: Android CVE-2026-21385 0-day Google kernel privilege escalation spyware MITRE ATT&CK
EQUIPE CYBERBOX THREAT INTEL
Threat Intelligence Team

Análises técnicas de ameaças cibernéticas, TTPs de grupos APT, vulnerabilidades críticas e tendências do cenário de ataques na América Latina e global.

Leia Também
Vulnerabilidades
Android Patch de Março 2026: 100+ Falhas Corrigidas, 2 RCE Críticas
02 Mar 2026
Vulnerabilidades
GitLab SSRF CVE-2021-39935 Volta a Ser Explorado em Instâncias Desatualizadas
03 Fev 2026
APT & Espionagem
APT28 Explora 0-day MSHTML CVE-2026-21513 via Arquivos LNK
01 Mar 2026