Pesquisadores da CMU e da University of Michigan identificaram uma nova técnica de ataque, apelidada de Pixnapping, que afeta modelos de smartphones Android fabricados pelo Google e pela Samsung. Segundo análise da RedBelt Security a falha, que compromete o sistema gráfico do aparelho, permite que criminosos capturem informações exibidas na tela, como códigos de autenticação em dois fatores (2FA), sem que o usuário perceba. O ataque explora o SurfaceFlinger, mecanismo interno de renderização de imagens do Android, que mapeia pixel por pixel o conteúdo exibido por outros aplicativos. A técnica, classificada como um tipo de canal lateral, consegue burlar as proteções visuais do sistema operacional e reconstruir informações sensíveis, como códigos temporários do Google Authenticator.
Durante os testes, os pesquisadores demonstraram que cinco modelos de dispositivos das linhas Google e Samsung, com versões entre o Android 13 e o Android 16, foram vulneráveis ao ataque. Apesar de uma correção inicial ter sido disponibilizada em setembro (CVE-2025-48561), o grupo conseguiu contornar o patch e reproduzir o golpe em menos de 30 segundos, obtendo acesso aos códigos 2FA das vítimas.
O relatório explica que para o ataque acontecer, o usuário precisa instalar um aplicativo aparentemente inofensivo, como, por exemplo, uma lanterna ou um leitor de QR Code, que contenha o código malicioso. Uma vez instalado, o app explora o pipeline de renderização do Android e a API de desfoque de janelas, permitindo capturar pixels em segundo plano, como se alguém conseguisse “espiar” a tela do celular sem precisar de autorização. Com isso, o criminoso consegue reconstruir o conteúdo de outras aplicações e até identificar quais apps estão instalados no dispositivo.
Os pesquisadores também descobriram que o Pixnapping pode contornar restrições implementadas desde o Android 11, permitindo que um aplicativo verifique a presença de outros apps no sistema, algo que o Google classifica como comportamento bloqueado por padrão. Essa falha foi marcada como “não será corrigida” pela empresa. Segundo especialistas da Redbelt Security, consultoria especializada em segurança da informação, o caso inaugura uma nova classe de ameaças voltadas à arquitetura gráfica dos sistemas operacionais. “O Pixnapping não depende de permissões tradicionais, como acesso à câmera ou microfone. Ele opera em um nível mais profundo, explorando recursos legítimos do sistema para capturar dados sensíveis”, explica Marcos Sena, gerente de SOC da Redbelt Security.
Segundo a organização, o Google e a Samsung informaram que trabalham em uma atualização mais robusta para mitigar completamente a falha até dezembro. “Esse tipo de golpe mostra que a fronteira entre vulnerabilidade e engenharia visual está se tornando mais tênue”, completa Sena. “Os criminosos estão explorando até o comportamento dos pixels para obter informações. É fundamental que os usuários mantenham atenção redobrada e que as empresas reforcem as práticas de segurança em camadas.”
