Pesquisadores dos Estados Unidos, ligados à Universidade de Michigan e à Carnegie Mellon University (CMU), identificaram um novo tipo de ataque que afeta celulares Android, em especial aparelhos fabricados pela Google e pela Samsung. Batizada de Pixnapping, a técnica explora uma falha no sistema gráfico do Android para capturar tudo o que é exibido na tela — inclusive informações sensíveis, como códigos de autenticação em duas etapas (2FA).
A vulnerabilidade está relacionada ao SurfaceFlinger, o componente interno responsável pela renderização de imagens no Android. Ele é o encarregado de mapear, pixel por pixel, o conteúdo visual exibido por outros aplicativos. No ataque, os criminosos se valem de um método conhecido como canal lateral, que consegue contornar as proteções visuais do sistema e, a partir disso, reconstruir dados confidenciais mostrados na tela.
### Como o Pixnapping funciona
A Redbelt Security, empresa especializada em segurança, testou diversos modelos de smartphones da Google e da Samsung e confirmou a vulnerabilidade em cinco aparelhos, rodando versões do Android entre a 13 e a 16. Em setembro, foi lançada uma correção oficial para o problema, registrada como CVE-2025-48561. No entanto, os especialistas conseguiram driblar o patch e voltar a executar o ataque em cerca de 30 segundos, demonstrando que a mitigação inicial não foi suficiente para neutralizar a ameaça.
Para que o celular seja comprometido, é necessário que a vítima instale um aplicativo malicioso. Esse app contaminado traz arquivos projetados para explorar a pipeline de renderização do Android, além de abusar da API de desfoque de janelas. Com isso, ele passa a capturar pixels em segundo plano, funcionando como uma espécie de espionagem sobre tudo o que o usuário faz na tela, inclusive em outros aplicativos.
Durante a investigação, também foi constatado que o Pixnapping consegue contornar restrições introduzidas desde o Android 11, permitindo que o aplicativo malicioso detecte a presença de outros apps instalados no sistema. A Google já declarou que não pretende corrigir especificamente esse aspecto, alegando que ele é considerado bloqueado por padrão. Ainda assim, tanto a empresa quanto a Samsung planejam implementar medidas de mitigação adicionais para a brecha até dezembro.
### Recomendações de segurança
Marcos Sena, gerente de SOC da Redbelt Security, orienta que os usuários mantenham sempre o sistema operacional do celular atualizado e evitem instalar aplicativos de fontes desconhecidas ou não confiáveis. Ele também sugere remover apps suspeitos ou pouco usados, deixando no aparelho apenas o que for realmente necessário.
Outra recomendação é dar preferência a chaves de acesso físicas para autenticação, em vez de depender exclusivamente de notificações push ou códigos exibidos visualmente na tela, que podem ser capturados por ataques como o Pixnapping. Essas medidas ajudam a reduzir o risco de exposição de dados sensíveis em caso de exploração da vulnerabilidade.
