Cuidado: Vírus bancário ataca celulares e sequestra Pix em tempo real; saiba se proteger

 

A matéria é do G1

Um novo vírus bancário para Android está mirando usuários brasileiros e explorando o sistema Pix para desviar dinheiro em questão de segundos. Segundo relatório da empresa de segurança Zimperium, o malware identificado como PixRevolution é capaz de sequestrar transferências em tempo real, atuando no exato momento em que a vítima realiza o pagamento. 

Para entender mais sobre a ameaça, o TechTudo conversou com Fernando Serto, Field CTO para a América Latina na Akamai, que explicou como o ataque funciona, por que ele é difícil de detectar e quais cuidados podem evitar prejuízos.

Vírus bancário ataca celulares e sequestra Pix em tempo real

Neste guia, será explicado o que é o vírus bancário, como ele atua na prática e de que forma esses ataques podem acontecer em tempo real. Também será detalhado como o malware consegue infectar celulares Android, por que esse tipo de golpe costuma passar despercebido e quais são as principais medidas para se proteger. 

De acordo com a Zimperium, o malware identificado, chamado PixRevolution, faz parte de uma nova geração de trojans financeiros desenvolvidos especificamente para explorar o Pix no Brasil. O relatório classifica a ameaça como um “agent-operated Android trojan”, ou seja, um vírus operado por um agente que pode acompanhar e interagir com o dispositivo da vítima em tempo real.

A análise também mostra que a campanha mira aplicativos de instituições financeiras amplamente utilizados no país, incluindo Nubank, Itaú Unibanco S.A., Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos, aumentando as chances de sucesso ao atingir serviços populares entre os usuários.

“O pagamento via Pix já é utilizado por 82% dos clientes de bancos digitais e 55% dos clientes de bancos tradicionais", contextualiza Fernando Serto.

O ataque combina técnicas de espionagem com manipulação ativa do dispositivo. Segundo a Zimperium, o malware utiliza, entre outros recursos, permissões de acessibilidade do Android para ler o conteúdo da tela, acompanhar interações do usuário e até executar comandos automaticamente dentro dos aplicativos.

Com isso, o vírus consegue observar o comportamento da vítima e intervir diretamente no funcionamento do aplicativo bancário. Entre as estratégias utilizadas estão a sobreposição de tela, captura de credenciais, interceptação de notificações e automação de interações dentro do app.

A Zimperium aponta que a infecção costuma começar com aplicativos maliciosos que se passam por versões falsas de serviços legítimos. Entre os exemplos identificados na campanha estão apps que imitam nomes conhecidos — como Expedia, Sicredi, Correios, Superior Tribunal de Justiça e AVG — além de outros como Reconhecimento XP, Caçamba Central, Paraná Caçambas e PilateseEmCasa. Esses nomes são usados como isca para enganar o usuário e induzir à instalação do trojan no dispositivo, sem qualquer relação com os aplicativos oficiais dessas instituições.

Na prática, isso significa que o malware não apenas espia, mas também pode agir. Em alguns casos, ele é capaz de navegar dentro do aplicativo bancário, preencher dados e confirmar ações, executando etapas da transação sem que o usuário perceba.

Serto detalha esse comportamento ao afirmar que “malwares financeiros são projetados para monitorar o comportamento do usuário e só são ativados quando identificam uma ação sensível, como a abertura de um aplicativo bancário ou até mesmo durante o início de uma transação via Pix.”

Ataque é feito em tempo real

Um dos pontos mais críticos destacados pela Zimperium é a execução do golpe em tempo real. No caso do PixRevolution, isso acontece porque o malware permite que um operador acompanhe a atividade no dispositivo da vítima e atue exatamente durante a transação.

Isso significa que, enquanto o usuário realiza o Pix dentro de aplicativos de bancos ou carteiras digitais, um agente pode observar a tela e interferir no processo no momento da confirmação, redirecionando valores ou alterando informações da transferência.

Segundo Fernando Serto, essa característica torna o golpe particularmente perigoso. “Como o Pix é um método de pagamento instantâneo, o ataque acontece dentro de um tempo muito curto, reduzindo as chances de reversão”, explica.

O especialista também ressalta que a detecção é difícil porque o ataque ocorre dentro de um fluxo legítimo. “Os ataques partem do dispositivo da própria vítima e utilizam credenciais válidas, dentro de um fluxo esperado, reduzindo os sinais de anomalias”, afirma.

Como o vírus infecta o celular Android

Apesar da sofisticação, a infecção ainda depende, na maioria dos casos, da ação do usuário. Segundo o relatório da Zimperium, os criminosos utilizam principalmente engenharia social para enganar as vítimas. Isso inclui aplicativos falsos que simulam bancos ou serviços populares, links maliciosos enviados por mensagens e contatos que se passam por suporte técnico ou instituições financeiras, muitas vezes com tom de urgência.

“Hoje já é possível uma combinação dos dois modelos, mas a infecção inicial ainda depende muito de engenharia social", reforça Serto.

Por que é difícil perceber o golpe?

A dificuldade em identificar o ataque está no fato de que ele ocorre durante uma ação legítima do usuário. Segundo Serto, muitos desses malwares permanecem inativos até detectar o momento exato da transação.

“Por exemplo, o comportamento do usuário hoje está cada vez mais orientado por velocidade e fluidez, que inclusive a nossa pesquisa mostra que são os principais fatores na escolha de um banco. E os ataques se aproveitam justamente dessa dinâmica”, explica.

Como o acesso ocorre com credenciais reais e dentro do próprio aparelho, sistemas de segurança têm mais dificuldade para identificar a fraude. Mesmo assim, alguns indícios podem indicar infecção, como lentidão do aparelho, aplicativos desconhecidos, pedidos incomuns de permissões, telas sobrepostas inesperadas e movimentações financeiras não reconhecidas.

Como se proteger

A proteção contra esse tipo de golpe passa principalmente por hábitos seguros no uso do celular. Com base na análise da Zimperium e nas orientações do especialista da Akamai, é fundamental evitar instalar aplicativos fora de lojas oficiais, desconfiar de links recebidos por mensagens e revisar permissões antes de concedê-las — principalmente as relacionadas à acessibilidade do sistema. Manter o aparelho sempre atualizado também é essencial. Durante transações via Pix, a recomendação é redobrar a atenção. Qualquer comportamento fora do padrão pode ser um indicativo de interferência maliciosa.