malware-sequestra-transferencias-pix-celulares
Transferências Pix – Um novo programa malicioso para Android está roubando dinheiro de brasileiros durante transferências Pix sem que a vítima perceba nada de errado. O PixRevolution, como foi batizado, se instala disfarçado de aplicativos conhecidos, assume o controle do celular e substitui a chave Pix do destinatário no exato momento da transferência, desviando o dinheiro para a conta dos criminosos enquanto exibe uma tela de carregamento falsa.
A ameaça foi identificada por pesquisadores da empresa de segurança mobile Zimperium, que analisaram o funcionamento do trojan e apontaram um método de ataque diferente do usado pela maioria dos malwares bancários.
LEIA: Patente do Ozempic expira neste mês no Brasil, mas genérico deve demorar
Segundo os pesquisadores, a maioria dos trojans bancários opera de forma automatizada. Esses programas detectam quando a vítima abre o aplicativo do banco, exibem telas falsas para capturar senhas e tentam realizar operações automaticamente.
O PixRevolution, no entanto, exige a presença de um operador humano — ou até de um agente de inteligência artificial, do outro lado da conexão. Essa pessoa acompanha a tela da vítima ao vivo e decide o momento exato de agir.
Essa estratégia resolve um problema comum para criminosos que usam trojans automatizados: quando um banco atualiza a interface do aplicativo, o malware deixa de funcionar. Como o PixRevolution depende da leitura visual feita pelo operador, ele consegue agir independentemente de qual banco é usado ou de como o aplicativo está organizado.
Como ocorre a infecção
A campanha começa com páginas falsas da Google Play Store, hospedadas em sites controlados pelos criminosos. Essas páginas imitam as listagens reais de aplicativos, com descrições, avaliações e um botão de instalação.
Quando o usuário clica para baixar o aplicativo, em vez de ser direcionado para a loja oficial, o celular faz o download de um arquivo APK, formato de instalação de aplicativos Android, diretamente de um servidor malicioso.
Os aplicativos falsos imitam marcas amplamente conhecidas no Brasil. A análise de 14 amostras identificou versões falsas de Correios, Expedia, AVG Antivírus, XP Investimentos, Sicredi, serviços locais de coleta de lixo, aplicativos de exercícios de pilates e até do Superior Tribunal de Justiça.
Alguns desses aplicativos funcionam como “droppers”, programas criados apenas para instalar silenciosamente outro malware. No caso do PixRevolution, o dropper carrega o trojan principal escondido e usa ferramentas nativas do Android para instalá-lo sem que a vítima precise confirmar a operação.
O abuso de serviços de acessibilidade
Após a instalação, o aplicativo exibe uma tela de boas-vindas com instruções específicas para celulares de diferentes fabricantes, como Samsung, Xiaomi e Motorola. A interface pede que o usuário ative um serviço de acessibilidade chamado “Revolution”.
Esses serviços são recursos legítimos do Android criados para ajudar pessoas com deficiências visuais ou motoras a usar o celular. Eles permitem que aplicativos leiam o conteúdo da tela, executem toques automaticamente e interajam com outros apps.
O PixRevolution explora justamente essas capacidades.
A tela falsa ainda exibe a mensagem: “Esta permissão é utilizada apenas para habilitar funcionalidades do aplicativo. Nenhuma informação pessoal é coletada.” Apesar da afirmação, o objetivo é obter controle total do dispositivo.
Depois que a permissão é ativada, a vítima é redirecionada para o site legítimo do Banco do Brasil, reforçando a impressão de que o processo ocorreu normalmente.
Conexão com os criminosos
Com o acesso concedido, o malware estabelece conexão com um servidor de comando e controle, conhecido como C2 (Command and Control), que funciona como central de operações dos criminosos.
O PixRevolution também ativa a captura de tela em tempo real usando a API MediaProjection do Android, ferramenta legítima do sistema que permite transmitir o conteúdo exibido no dispositivo. Com isso, o operador acompanha tudo o que a vítima faz no celular.
O trojan ainda monitora textos exibidos na tela e os compara com uma lista de mais de 80 frases em português relacionadas a transações financeiras, como “pix enviado”, “transferência concluída” e “saldo disponível”. Essas expressões ficam codificadas em base64 dentro do código do malware para dificultar a detecção por softwares de segurança.
Quando uma dessas frases aparece, o sistema envia automaticamente um alerta e uma captura da tela para os criminosos.
O momento do golpe
Quando a vítima abre o aplicativo bancário e inicia uma transferência Pix, o operador acompanha o processo ao vivo. Ele observa a digitação da chave do destinatário verdadeiro e, no momento certo, envia ao malware a chave Pix controlada pelos criminosos.
Em seguida, o trojan executa rapidamente uma sequência de ações. Primeiro, exibe uma tela de sobreposição com a mensagem “Aguarde…”, armazenada localmente no celular. Essa tela bloqueia completamente a visão da vítima.
Enquanto o indicador de carregamento aparece, o malware localiza o campo onde a chave Pix foi digitada, apaga o conteúdo e substitui pela chave dos criminosos. Depois disso, simula o toque no botão de confirmação.
Para realizar essa etapa, o trojan analisa a estrutura da interface do aplicativo bancário em tempo real, em vez de usar coordenadas fixas na tela. Isso permite que o ataque funcione em praticamente qualquer celular e em diferentes aplicativos de banco.
Quando a tela falsa desaparece, o usuário vê a mensagem legítima de “transferência concluída”. O pagamento realmente foi realizado, mas para a conta errada.
Por que o Pix virou alvo
O sistema de pagamentos instantâneos processa mais de 3 bilhões de transações por mês no Brasil, funciona 24 horas por dia e liquida transferências em segundos. Para os criminosos, essas características tornam o Pix um alvo ideal.
Como as transferências são instantâneas e irrevogáveis, normalmente não existe possibilidade de cancelamento imediato. Muitas vítimas só percebem o golpe depois de conferir o extrato e notar que o dinheiro foi enviado para uma conta desconhecida.
Medidas de proteção
Especialistas recomendam algumas medidas para reduzir o risco de infecção. A principal delas é baixar aplicativos exclusivamente pela Google Play Store oficial e desconfiar de links recebidos por mensagens ou encontrados em sites desconhecidos.
Outra orientação importante é nunca ativar serviços de acessibilidade a pedido de aplicativos cuja função não dependa claramente desse recurso.
De acordo com a Zimperium, a detecção desse tipo de ameaça exige análise comportamental em tempo real, já que o PixRevolution não utiliza técnicas tradicionais de ataque. O malware explora permissões concedidas voluntariamente pelo usuário e ferramentas legítimas do sistema operacional, o que dificulta a identificação por antivírus baseados apenas em assinaturas de ameaças conhecidas.
Os pesquisadores também alertam que o modelo operacional usado pelo PixRevolution pode ser adaptado para outros sistemas de pagamento instantâneo no mundo, como o UPI na Índia e o FedNow nos Estados Unidos.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/mohammadhridoy_11)
Sentimento de insatisfação na carreira nem sempre está ligado apenas ao cansaço, explicam especialistas
Criminosos estão comprometendo ferramentas usadas por desenvolvedores, criando ciclo de infecções capaz de atingir milhares…
Estudos apontam mudanças em áreas do cérebro ligadas à aprendizagem, memória e tomada de decisões