O Pix revolucionou o sistema de pagamentos no Brasil. Com transferências instantâneas e disponíveis a qualquer momento, ele se tornou o método preferido de milhões de brasileiros para enviar e receber dinheiro. No entanto, essa popularidade também chamou a atenção de cibercriminosos que buscam novas formas de explorar usuários desatentos.
Pesquisadores de segurança identificaram recentemente várias novas famílias de malware voltadas para dispositivos Android, incluindo PixRevolution e BeatBanker. Esses códigos maliciosos foram projetados para atacar aplicativos bancários e carteiras digitais, com foco especial em transações realizadas via Pix.
O mais preocupante é que os ataques são extremamente discretos. Em muitos casos, o golpe ocorre exatamente no momento da transferência. Enquanto o usuário acredita estar concluindo uma operação legítima, o malware pode alterar dados da transação usando técnicas como abuso de serviços de acessibilidade, uso de sobreposição de tela e instalação de APK malicioso.
Como o malware PixRevolution sequestra transferências em tempo real
Entre as ameaças mais sofisticadas identificadas está o PixRevolution, um malware projetado especificamente para interferir em transações financeiras realizadas em smartphones Android.
Esse código malicioso utiliza recursos do próprio sistema operacional para monitorar a atividade da tela. Uma das técnicas envolve a API MediaProjection, que permite capturar o conteúdo exibido no dispositivo.
O ataque normalmente ocorre em etapas:
- O usuário inicia uma transferência Pix no aplicativo bancário.
- O malware monitora a atividade da tela em segundo plano.
- No momento da confirmação da transação, surge uma sobreposição de tela com mensagens como “Processando pagamento”.
- Durante esse curto intervalo, o malware substitui a chave Pix do destinatário pela chave controlada pelos criminosos.
Como o processo acontece em frações de segundo, muitas vítimas só percebem o golpe depois que o dinheiro já foi transferido.
Outro elemento central do ataque é o uso indevido dos serviços de acessibilidade. Esse recurso foi criado para ajudar usuários com deficiência, permitindo que aplicativos interajam com a interface do sistema. No entanto, quando explorado por malware, ele pode permitir leitura de telas, cliques automáticos e controle de aplicativos.
BeatBanker e a curiosa tática do áudio inaudível
Outra família de malware identificada em campanhas recentes é o BeatBanker, que utiliza uma técnica incomum para permanecer ativo no dispositivo da vítima.
Esse malware reproduz continuamente um áudio quase inaudível em segundo plano. O objetivo é impedir que o sistema Android coloque o aplicativo em estado de suspensão por inatividade, garantindo que o código malicioso continue rodando.
Assim como outras ameaças bancárias, o BeatBanker também depende do acesso aos serviços de acessibilidade para automatizar ações dentro de aplicativos financeiros.
Além de mirar aplicativos bancários, esse malware também pode atacar carteiras de criptomoedas instaladas no smartphone. Entre os alvos observados por pesquisadores estão aplicativos populares usados para armazenar ativos digitais.
Quando ativo, o malware pode:
- capturar credenciais de acesso
- interceptar códigos de autenticação
- monitorar transações financeiras
- coletar frases de recuperação de carteiras
Esse tipo de ataque é particularmente perigoso porque transferências de criptomoedas geralmente não podem ser revertidas.
O perigo das falsas lojas de aplicativos e o abuso da acessibilidade
Grande parte dessas infecções começa fora da loja oficial de aplicativos.
Criminosos frequentemente criam páginas falsas que imitam a interface da loja oficial do Android. Essas páginas simulam uma Google Play Store falsa e oferecem downloads de aplicativos aparentemente legítimos, como atualizações de bancos ou ferramentas financeiras.
Na realidade, o arquivo disponibilizado é um APK malicioso que contém o malware bancário.
Após a instalação, o aplicativo solicita permissões críticas. Entre as mais exploradas estão:
- acesso aos serviços de acessibilidade
- permissão para exibir sobreposição de tela
- acesso a notificações do sistema
- execução contínua em segundo plano
Quando o usuário concede essas permissões, o malware passa a ter controle suficiente para interagir com aplicativos financeiros e manipular operações.
Essa combinação de engenharia social e exploração de recursos legítimos do Android explica por que esses ataques têm sido tão eficazes.
Inteligência artificial e RATs de última geração no Android
Pesquisadores também identificaram ferramentas de controle remoto avançadas em campanhas recentes de malware móvel.
Essas ferramentas, conhecidas como RATs (Remote Access Trojans), permitem que criminosos assumam controle quase total do dispositivo da vítima. Um exemplo citado em análises recentes é o SURXRAT, capaz de transformar o smartphone em um terminal controlado remotamente.
Algumas dessas ferramentas já incorporam módulos baseados em IA para automatizar tarefas e melhorar a evasão de sistemas de segurança.
Entre as capacidades observadas estão:
- identificação automática de aplicativos bancários
- reconhecimento de elementos da interface do usuário
- automação de etapas de golpes financeiros
- adaptação a diferentes versões de aplicativos
O uso de IA em campanhas de malware representa uma evolução significativa no cenário de ameaças móveis.
Como se proteger: dicas essenciais de segurança móvel
Embora essas ameaças sejam sofisticadas, existem práticas importantes que podem reduzir significativamente o risco de infecção.
Instale aplicativos apenas da loja oficial
Evite baixar aplicativos de sites externos. Muitas campanhas de malware utilizam páginas falsas que distribuem APK malicioso.
Desconfie de permissões de acessibilidade
Aplicativos comuns raramente precisam acessar serviços de acessibilidade. Se um aplicativo desconhecido solicitar essa permissão, o ideal é recusar.
Evite conceder permissões de sobreposição
A sobreposição de tela pode ser usada para criar interfaces falsas que enganam o usuário durante transações financeiras.
Use autenticação em dois fatores
Sempre que possível, ative camadas extras de autenticação em aplicativos bancários e carteiras digitais.
Mantenha o sistema atualizado
Atualizações do Android frequentemente incluem correções importantes contra vulnerabilidades exploradas por malware.
Utilize ferramentas de segurança
Aplicativos de proteção móvel podem detectar comportamentos suspeitos e bloquear ameaças antes que elas comprometam o dispositivo.
Conclusão
As novas famílias de malware que atacam dispositivos Android mostram como o cibercrime está evoluindo rapidamente para explorar sistemas de pagamento digitais populares.
Ferramentas como PixRevolution e BeatBanker demonstram que criminosos estão cada vez mais focados em explorar recursos legítimos do sistema operacional, como serviços de acessibilidade e sobreposição de tela, para executar ataques furtivos.
A conscientização do usuário continua sendo uma das principais linhas de defesa. Evitar instalar APK malicioso, desconfiar de páginas que imitam a Google Play Store falsa e revisar cuidadosamente permissões de aplicativos são medidas essenciais para manter o dispositivo protegido.
Compartilhar esse alerta com amigos e familiares que utilizam Pix também é uma forma importante de reduzir o impacto desses golpes.
