# CVE-2026-21385 - Qualcomm Adreno GPU Zero-Day (Android) > [!critical] CVSS 9.0 - Zero-Day em Driver GPU Qualcomm · Confirmado: exploração ativa antes do patch · Android Security Bulletin março 2026 ## Visão Geral A CVE-2026-21385 é uma vulnerabilidade crítica do tipo zero-day no driver de GPU [[t1203-exploitation-client-execution|Adreno]] presente em dispositivos [[t1068-exploitation-privilege-escalation|Android]] com chipsets Snapdragon da [[_qualcomm|Qualcomm]]. Com pontuação CVSS de 9.0, a falha foi confirmada como explorada ativamente antes da disponibilização do patch no Android Security Bulletin de março de 2026 - um dos 129 CVEs corrigidos naquela edição, mas um dos poucos com exploração in-the-wild confirmada. A vulnerabilidade reside na camada de driver de GPU e permite que código malicioso obtenha execução privilegiada no dispositivo, potencialmente com acesso ao nível do kernel. Zero-days em drivers de GPU móvel são historicamente associados a operações de vigilância direcionada, ferramentas de spyware comercial e campanhas de espionagem estatal, tornando esta CVE de alto interesse operacional para equipes de defesa. > [!latam] Relevância para Brasil e LATAM > O Brasil lidera o mercado de smartphones Android na América Latina, com chipsets Qualcomm Snapdragon presentes na maioria dos dispositivos de médio e alto padrão vendidos na região. A fragmentação do ecossistema Android significa que a maioria dos dispositivos afetados levará semanas ou meses para receber o patch via OEM, período durante o qual permanecem vulneráveis. Setores críticos como financeiro e telecomúnicações, onde funcionários acessam sistemas corporativos via dispositivos Android, são diretamente expostos. ## Impacto Técnico A exploração desta vulnerabilidade utiliza as técnicas [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] e [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]], permitindo que um atacante obtenha execução de código no nível do kernel a partir de uma aplicação maliciosa ou conteúdo web especialmente construído. O impacto é particularmente relevante para o ecossistema móvel brasileiro, onde dispositivos Android com chipsets Qualcomm representam a maioria do mercado. Setores como [[telecommunications|telecomúnicações]] e [[financial|financeiro]] são diretamente afetados, considerando que aplicativos bancários e de comunicação corporativa executam em dispositivos Android vulneráveis. A fragmentação do ecossistema Android significa que muitos dispositivos podem levar semanas ou meses para receber a atualização. ## Exploração A confirmação de exploração ativa antes do patch classifica esta vulnerabilidade como zero-day. Embora a CISA ainda não tenha adicionado a CVE ao catálogo Known Exploited Vulnerabilities, a exploração in-the-wild foi confirmada pelo Google no Android Security Bulletin. Zero-days em drivers de GPU móvel são frequentemente associados a operações de vigilância direcionada, como as conduzidas por fornecedores de spyware comercial. A exploração pode ser encadeada com outras vulnerabilidades para obter persistência em dispositivos comprometidos. Organizações que gerenciam frotas de dispositivos móveis devem priorizar a distribuição do patch via MDM. ## Mitigação - Aplicar a atualização do Android Security Bulletin de março de 2026 em todos os dispositivos gerenciados - Utilizar soluções de MDM para forçar a atualização de dispositivos corporativos - Monitorar dispositivos para sinais de comprometimento (consumo anômalo de bateria, tráfego de rede suspeito) - Restringir a instalação de aplicativos de fontes não confiáveis (sideloading) - Para dispositivos que não receberão o patch, considerar restrição de acesso a dados corporativos sensíveis via políticas MDM ## Referências - [Google Android Security Bulletin - Março 2026](https://source.android.com/docs/security/bulletin/2026-03-01) - [Qualcomm Security Bulletin - Março 2026](https://www.qualcomm.com/company/product-security/bulletins) - [NVD - CVE-2026-21385](https://nvd.nist.gov/vuln/detail/CVE-2026-21385)