O boletim de segurança Android de dezembro 2025 acendeu um alerta vermelho na comunidade de cibersegurança global. A Google confirmou correções para 107 vulnerabilidades, sendo que duas delas, classificadas como zero-days, já estão sendo ativamente exploradas em ataques direcionados contra usuários de dispositivos Android. Neste artigo do blog Dolutech, vamos mergulhar nos detalhes técnicos dessas falhas críticas, analisar o impacto real sobre milhões de dispositivos e fornecer orientações práticas de mitigação.
As Vulnerabilidades Zero-Day Sob Ataque Ativo
As duas falhas de segurança zero-day identificadas pela Google afetam o componente Framework do Android, uma camada fundamental que contém bibliotecas essenciais e APIs utilizadas por todos os aplicativos do sistema. As vulnerabilidades foram catalogadas como CVE-2025-48633 (divulgação de informações) e CVE-2025-48572 (elevação de privilégios), ambas classificadas com severidade alta.
A primeira vulnerabilidade, CVE-2025-48633, permite que aplicativos Android maliciosos acessem informações sensíveis do sistema sem requerer privilégios elevados. Isso significa que um invasor pode extrair dados confidenciais, incluindo credenciais, tokens de autenticação e informações pessoais, explorando essa falha através de um aplicativo aparentemente inofensivo instalado no dispositivo.
Já a CVE-2025-48572 representa um vetor de ataque ainda mais perigoso. Essa falha de elevação de privilégios possibilita que atacantes ganhem controle administrativo completo sobre dispositivos vulneráveis, burlando todas as restrições de segurança e executando ações não autorizadas com permissões de nível sistema. Nós verificamos que ambas as vulnerabilidades afetam as versões Android 13, 14, 15 e 16, colocando uma parcela substancial do ecossistema Android em risco.
Contexto Técnico e Vetores de Exploração
Segundo análises de especialistas em segurança mobile, vulnerabilidades de divulgação de informações como a CVE-2025-48633 são frequentemente empregadas para derrotar mecanismos de proteção como sandboxing e Address Space Layout Randomization (ASLR). Ao vazar informações sensíveis da memória do sistema, atacantes conseguem mapear a estrutura interna do dispositivo e preparar o terreno para ataques mais sofisticados.
As falhas de elevação de privilégios, por sua vez, são especialmente valiosas em cadeias de exploração multi-estágio. Após obter um ponto de entrada inicial, seja através de phishing, aplicativos maliciosos ou outras vulnerabilidades, a CVE-2025-48572 permite que atacantes escalem seus privilégios e estabeleçam persistência profunda no sistema operacional.
A Dolutech identificou que o termo “exploração limitada e direcionada” utilizado pela Google no boletim oficial é consistente com padrões observados em operações de spyware comercial. Campanhas similares no passado foram atribuídas a fornecedores de ferramentas de vigilância como NSO Group, Candiru e Intellexa, que comercializam soluções capazes de comprometer dispositivos Android através de vetores sofisticados.
Boletim de Dezembro: 107 Correções Críticas
Além dos dois zero-days ativamente explorados, o boletim de segurança Android de dezembro 2025 endereça um total impressionante de 107 vulnerabilidades distribuídas em múltiplos componentes do sistema. A atualização foi dividida em dois níveis de patch, 2025-12-01 e 2025-12-05, permitindo que fabricantes implementem correções de forma escalonada.
O primeiro nível de patch (2025-12-01) aborda 51 falhas nos componentes Framework e System do Android, incluindo as duas vulnerabilidades zero-day. Destacamos que a vulnerabilidade mais crítica deste conjunto é a CVE-2025-48631, uma falha de negação de serviço (DoS) no Framework que pode ser explorada remotamente sem necessidade de privilégios adicionais, potencialmente causando interrupções em funcionalidades essenciais do dispositivo.
O segundo nível de patch (2025-12-05) contém correções para 56 vulnerabilidades afetando o Kernel do Android e componentes closed-source de terceiros. Entre os destaques críticos estão quatro falhas de elevação de privilégios nos subcomponentes Pkvm e UOMMU do Kernel (CVE-2025-48623, CVE-2025-48624, CVE-2025-48637 e CVE-2025-48638), além de duas vulnerabilidades críticas em componentes Qualcomm (CVE-2025-47319 e CVE-2025-47372).
CISA Adiciona Falhas ao Catálogo KEV
O US Cybersecurity and Infrastructure Security Agency (CISA) reagiu rapidamente à divulgação das vulnerabilidades, adicionando tanto a CVE-2025-48633 quanto a CVE-2025-48572 ao seu catálogo Known Exploited Vulnerabilities (KEV). Esta designação formal impõe obrigações vinculantes para agências federais americanas sob a Diretiva Operacional Vinculante BOD 22-01.
De acordo com o aviso oficial da CISA, agências governamentais devem remediar essas vulnerabilidades até 23 de dezembro de 2025. A agência enfatizou que “estes tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para o empreendimento federal”, recomendando fortemente que todas as organizações, não apenas entidades governamentais, priorizem a correção dessas falhas como parte de suas práticas de gestão de vulnerabilidades.
Campanhas de Spyware e Ataques Direcionados
A linguagem cautelosa utilizada pela Google ao descrever as explorações como “limitadas e direcionadas” aponta para um cenário preocupante: operações de vigilância altamente sofisticadas conduzidas contra alvos de alto valor. Nós observamos um padrão similar em campanhas recentes que exploraram outras vulnerabilidades Android.
Um exemplo emblemático é o spyware LANDFALL, descoberto pela Palo Alto Networks Unit 42 em novembro de 2025. Esta ferramenta de vigilância comercial explorou a vulnerabilidade CVE-2025-21042 em dispositivos Samsung Galaxy através de imagens DNG maliciosas enviadas via WhatsApp, permitindo vigilância abrangente incluindo gravação de microfone, rastreamento de localização e coleta de fotos, contatos e registros de chamadas.
Especialistas em threat intelligence sugerem que as técnicas empregadas nas explorações das CVE-2025-48633 e CVE-2025-48572 podem seguir metodologias semelhantes, potencialmente visando jornalistas, ativistas, políticos e outras figuras de interesse estratégico. A capacidade de combinar divulgação de informações com elevação de privilégios cria uma cadeia de exploração particularmente poderosa para operações de espionagem.
Status de Patches dos Fabricantes
A fragmentação do ecossistema Android continua sendo um desafio significativo para a aplicação tempestiva de patches de segurança. Enquanto a Google disponibilizou as correções para os fabricantes parceiros com pelo menos um mês de antecedência, a implementação varia drasticamente entre diferentes vendors.
A Samsung foi um dos primeiros fabricantes a responder, lançando uma atualização de manutenção para seus principais modelos flagship que incorpora patches tanto da Google quanto correções específicas do fabricante, incluindo a remediação para CVE-2025-48633. A Motorola também implementou correções para a mesma vulnerabilidade em sua atualização de dezembro.
Outros fabricantes como Huawei, LG, Nokia e Oppo devem lançar suas respectivas atualizações nas próximas semanas. A Dolutech recomenda que usuários monitorem ativamente os canais oficiais de seus fabricantes e verifiquem regularmente a disponibilidade de atualizações de segurança.
Mitigação e Recomendações Técnicas
Para organizações e usuários individuais preocupados com essas ameaças, implementar uma estratégia de mitigação em múltiplas camadas é essencial. A seguir, apresentamos recomendações práticas fundamentadas em best practices de segurança mobile:
Atualização Imediata do Sistema
A ação prioritária é garantir que todos os dispositivos Android estejam executando o nível de patch de segurança 2025-12-05 ou posterior. Para verificar o nível de patch atual:
- Acesse Configurações > Sobre o telefone > Informações do software
- Localize o campo “Nível de patch de segurança do Android”
- Se o nível for anterior a dezembro 2025, verifique imediatamente por atualizações disponíveis
Para ambientes corporativos com Mobile Device Management (MDM), utilize consultas automatizadas para identificar dispositivos vulneráveis em sua frota. Priorize a remediação de dispositivos com acesso a sistemas sensíveis ou utilizados por pessoal de alto valor.
Gestão Rigorosa de Aplicativos
Evite instalar aplicativos de fontes não confiáveis. Configure seu dispositivo para permitir apenas instalações da Google Play Store:
Configurações > Segurança > Instalar aplicativos desconhecidos
Desabilite permissões para todos os navegadores e gerenciadores de arquivoMantenha o Google Play Protect ativo e atualizado. Esta camada de defesa comportamental pode detectar e bloquear cadeias de ataque documentadas, mesmo em versões Android mais antigas.
Segmentação de Rede
Para dispositivos que não podem ser imediatamente atualizados, implemente controles compensatórios através de segmentação de rede. Isole esses dispositivos de redes que contenham dados sensíveis ou sistemas críticos até que a remediação seja aplicada.
Monitoramento de Indicadores de Comprometimento
Estabeleça monitoramento para comportamentos anômalos que possam indicar exploração ativa:
- Consumo incomum de bateria ou dados
- Aplicativos desconhecidos executando em segundo plano
- Tentativas de acesso a informações sensíveis por aplicativos não esperados
- Conexões de rede suspeitas para domínios desconhecidos
Impacto no Cenário de Ameaças Mobile
As revelações de dezembro 2025 reforçam uma tendência preocupante: a sofisticação crescente de ataques direcionados contra dispositivos móveis. Com mais de 3 bilhões de dispositivos Android ativos globalmente, a superfície de ataque é imensa, e a fragmentação do ecossistema dificulta a aplicação uniforme de patches de segurança.
Nós observamos que esta é a segunda maior quantidade de vulnerabilidades corrigidas pela Google em 2025, ficando atrás apenas da atualização de setembro que endereçou 120 falhas. Esta frequência elevada sugere que atacantes estão intensificando seu foco no Android, atraídos pela combinação de base massiva de usuários e complexidade do ecossistema.
A presença confirmada de exploração ativa antes da divulgação pública destaca a importância crítica de sistemas robustos de detecção de ameaças e resposta rápida. Para organizações sujeitas a requisitos regulatórios como NIS2, DORA e GDPR no contexto europeu, a gestão adequada de vulnerabilidades móveis deve ser considerada componente essencial de programas de conformidade.
Conclusão
As vulnerabilidades zero-day CVE-2025-48633 e CVE-2025-48572 representam ameaças reais e atuais ao ecossistema Android. A confirmação de exploração ativa, combinada com a adição ao catálogo KEV da CISA, elimina qualquer ambiguidade sobre a urgência da remediação.
A Dolutech enfatiza que a aplicação tempestiva de patches de segurança não é apenas uma questão de higiene cibernética, é uma necessidade operacional crítica em um cenário onde adversários sofisticados exploram ativamente falhas conhecidas. Organizações e usuários individuais devem tratar esta atualização como prioridade máxima, implementando as medidas de mitigação descritas neste artigo enquanto aguardam disponibilidade de patches para seus dispositivos específicos.
A natureza direcionada das explorações observadas não deve gerar falsa sensação de segurança. Enquanto as campanhas atuais parecem focar alvos de alto valor, a disponibilidade pública de informações sobre as vulnerabilidades inevitavelmente levará à expansão do uso dessas técnicas por atores menos sofisticados. A janela para remediação proativa está se fechando rapidamente.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.