A ameaça mais frequente detetada no país em 2025 surge identificada como HTML/Phishing.Agent, um tipo de ataque que corresponde, na prática, a páginas falsas criadas para imitar serviços legítimos. 

No ano de 2025, com base em dados de telemetria recolhidos em Portugal até ao final de novembro, a ESET, empresa europeia de cibersegurança, identifica um padrão claro: os ataques que mais crescem e que mais impacto têm no dia a dia dos utilizadores são aqueles que se disfarçam de tarefas banais, como abrir um email, clicar num link urgente, descarregar um ficheiro aparentemente inofensivo ou instalar uma aplicação considerada "útil".

Distribuídas sobretudo por email, SMS ou mensagens em redes sociais, estas páginas simulam bancos, serviço da Autoridade Tributária, serviços de entregas ou plataformas digitais populares e estão na origem de muitas das mensagens que circulam diariamente no país a alertar para “encomendas por entregar”, “pagamentos em falta”, “problemas com a conta bancária” ou “necessidade urgente de confirmação de dados”, revela um comunicado da ESET enviado às redações.

Os cibercriminosos exploram marcas e serviços familiares aos portugueses, recorrendo a páginas quase indistinguíveis das originais, e tiram partido da linguagem urgente, da aparência legítima e da facilidade de acesso via telemóvel para levar os utilizadores a introduzir palavras-passe, dados pessoais ou bancários.

“Em Portugal, a maioria dos ataques já não começa com software complexo, mas com mensagens simples que fazem parte da rotina das pessoas. Um email, um SMS ou um link que parece legítimo continua a ser suficiente para levar muitos utilizadores a entregar dados pessoais, palavras-passe ou acessos a contas digitais”, explica Ricardo Neves, responsável pela comunicação da ESET em Portugal.

O ataque começa num clique: email e web lideram os vetores de infeção

Nos ataques que chegam às pessoas por email, o perigo continua a chegar sob a forma de documentos, scripts (pedaços de código malicioso) e anexos aparentemente inofensivos. Os scripts lideram com 44,0% das deteções, seguidos de ficheiros executáveis (19,0%), PDF (12,0%), ficheiros batch (10,5%) e ficheiros comprimidos (9,5%). 

Na prática, muitos ataques começam com anexos que imitam situações comuns, como faturas, comprovativos, notificações de entrega ou documentos de trabalho, que ao serem abertos executam código malicioso ou conduzem a páginas falsas criadas para roubar dados, explorando tanto a confiança do utilizador como falhas conhecidas nos documentos.

Quando um download traz mais do que o prometido

Outro indicador relevante do semestre é o aumento dos chamados downloaders, um tipo de ameaça que atua como passo intermédio do ataque. Em vez de se apresentar como o problema final, este tipo de malware entra no sistema para descarregar outras infeções em segundo plano, como ferramentas de roubo de dados ou controlo remoto. 

Em Portugal, destaca-se JS/Danger (20,4%), seguido de várias variantes TrojanDownloader.Agent. Na prática, estes casos estão frequentemente associados a downloads feitos na web, como programas “gratuitos”, cracks, instaladores falsos, leitores de PDF, atualizações de software ou extensões de navegador. Após a instalação, o utilizador raramente vê sinais imediatos, mas o sistema passa a receber outras ameaças sem o seu conhecimento.

Quando uma app “normal” traz mais do que o esperado

No universo Android, a ameaça mais detetada no segundo semestre de 2025 foi o chamado “dropper”, identificado como Android/TrojanDropper.Agent, responsável por 43,4% das deteções. Na prática, tratam-se de aplicações que aparentam ser legítimas, como apps de utilidade, jogos, ferramentas de otimização ou promoções, mas que, após a instalação, pedem permissões excessivas e passam a instalar ou ativar outras aplicações maliciosas sem o conhecimento do utilizador. 

Logo a seguir surgem aplicações potencialmente indesejadas, associadas a anúncios constantes, redirecionamentos, consumo anormal de bateria e degradação do desempenho do telemóvel, como Android/AdDisplay.Generic (14,1%), além de deteções ligadas a fraude e spyware, como Android/Spy.Banker (6,0%), que podem visar o roubo de dados pessoais ou bancários.

“Os dados recolhidos em Portugal reforçam a importância de combinar tecnologia de segurança com maior atenção por parte dos utilizadores, sobretudo em interações digitais aparentemente simples”, conclui Ricardo Neves, responsável pela comunicação da ESET em Portugal.