Um novo tipo de vírus bancário voltado para dispositivos Android está mirando usuários brasileiros e utilizando o sistema Pix para desviar dinheiro de forma quase instantânea. De acordo com um relatório da empresa de segurança Zimperium, o malware, batizado de PixRevolution, é capaz de interferir em transferências no exato momento em que elas estão sendo realizadas, tornando a fraude extremamente rápida e difícil de reverter.
Como o PixRevolution age?
Segundo a Zimperium, o PixRevolution faz parte de uma nova geração de trojans financeiros criados especificamente para explorar o Pix, o sistema de pagamentos instantâneos do Brasil. Classificado como um “agent-operated Android trojan”, esse tipo de malware permite que um operador humano acompanhe e interaja com o dispositivo da vítima em tempo real. A campanha tem como alvo aplicativos de instituições financeiras populares, como Nubank, Itaú Unibanco, Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos.
O ataque combina espionagem com controle ativo do aparelho. Utilizando permissões de acessibilidade do Android, o vírus consegue ler conteúdos exibidos na tela, monitorar interações e até executar comandos automaticamente. Entre as técnicas empregadas estão sobreposição de tela (para capturar credenciais), interceptação de notificações e automação dentro dos aplicativos bancários. Na prática, o vírus não apenas observa, mas também executa ações, podendo preencher dados e confirmar transações sem que a vítima perceba.
Infecção começa com apps falsos
A infecção geralmente começa com aplicativos falsos que imitam serviços conhecidos, como Expedia, Correios ou até instituições oficiais, além de outros nomes usados como isca. Esses apps enganam o usuário e facilitam a instalação do malware. Uma vez instalado, o vírus solicita permissões de acessibilidade, que são essenciais para o seu funcionamento.
Fernando Serto, Field CTO na Akamai, explica esse comportamento: “Malwares financeiros são projetados para monitorar o comportamento do usuário e só são ativados quando identificam uma ação sensível, como a abertura de um aplicativo bancário ou até mesmo durante o início de uma transação via Pix.” Um dos aspectos mais críticos é a atuação em tempo real: o operador pode acompanhar a transação e interferir exatamente no momento da confirmação, alterando dados ou redirecionando valores.
Por que é tão perigoso?
“Como o Pix é um método de pagamento instantâneo, o ataque acontece dentro de um tempo muito curto, reduzindo as chances de reversão”, afirma Serto. Ele acrescenta: “Os ataques partem do dispositivo da própria vítima e utilizam credenciais válidas, dentro de um fluxo esperado, reduzindo os sinais de anomalias”. Apesar da sofisticação, a infecção ainda depende, em grande parte, da ação do usuário, geralmente por meio de engenharia social. “Hoje já é possível uma combinação dos dois modelos, mas a infecção inicial ainda depende muito de engenharia social”, reforça o especialista.
A dificuldade de detecção está ligada ao fato de que o golpe ocorre durante ações legítimas. “Por exemplo, o comportamento do usuário hoje está cada vez mais orientado por velocidade e fluidez, que inclusive a nossa pesquisa mostra que são os principais fatores na escolha de um banco. E os ataques se aproveitam justamente dessa dinâmica”, explica Serto. Mesmo assim, sinais como lentidão no dispositivo, aplicativos desconhecidos instalados, pedidos incomuns de permissões (especialmente de acessibilidade) e movimentações financeiras suspeitas podem indicar infecção.
Como se proteger?
Para se proteger, recomenda-se evitar aplicativos fora de lojas oficiais (Google Play Store), desconfiar de links recebidos por mensagem ou e-mail, e revisar permissões concedidas a aplicativos, especialmente as de acessibilidade. Também é essencial manter o celular atualizado com as últimas correções de segurança e redobrar a atenção durante transações via Pix, verificando sempre os dados do destinatário antes de confirmar.
