Malware batizado de PixRevolution é capaz de redirecionar transferências no exato momento da confirmação, sem que a vítima perceba. Pesquisadores alertam que o Brasil é alvo prioritário dos criminosos
Um novo vírus bancário para Android está mirando usuários brasileiros e explorando o sistema Pix para desviar dinheiro em questão de segundos. Segundo relatório da empresa de segurança Zimperium, o malware identificado como PixRevolution é capaz de sequestrar transferências em tempo real, atuando no exato momento em que a vítima realiza o pagamento.
O que é o PixRevolution
O malware faz parte de uma nova geração de trojans financeiros desenvolvidos especificamente para explorar o Pix no Brasil. O relatório da Zimperium classifica a ameaça como um “agent-operated Android trojan” — ou seja, um vírus operado por um agente que pode acompanhar e interagir com o dispositivo da vítima em tempo real.
O PixRevolution se diferencia da maioria dos trojans bancários, que operam de forma automatizada. O malware exige a presença de um operador humano — ou até de um agente de inteligência artificial — do outro lado da conexão. Essa pessoa acompanha a tela da vítima ao vivo e decide o momento exato de agir. Essa estratégia resolve um problema comum para criminosos: quando um banco atualiza a interface do aplicativo, o malware automatizado deixa de funcionar. O PixRevolution não tem esse problema.
Como o golpe funciona na prática
Quando a vítima inicia uma transferência Pix no aplicativo do banco, o trojan executa uma sequência em frações de segundo. Primeiro, exibe uma tela de sobreposição com a mensagem “Aguarde…”, que bloqueia completamente a visão da vítima. Enquanto o spinner gira na tela, o malware localiza o campo onde a chave Pix foi digitada, apaga o conteúdo e substitui pela chave dos criminosos. Em seguida, simula um toque no botão de confirmação.
Para isso, ele não usa coordenadas fixas de tela. Ele consulta a estrutura da interface do aplicativo bancário em tempo real para encontrar o botão correto, o que torna o ataque funcional em praticamente qualquer celular e qualquer app de banco. O overlay desaparece e a vítima vê uma tela de “transferência concluída” completamente real — afinal, a transferência de fato ocorreu, mas para a conta errada.
O PixRevolution também ativa a captura de tela em tempo real usando a API MediaProjection do Android, ferramenta legítima do sistema que permite transmitir o conteúdo exibido no dispositivo. Com isso, o operador acompanha tudo o que a vítima faz no celular. O trojan ainda monitora textos exibidos na tela e os compara com uma lista de mais de 80 frases em português relacionadas a transações financeiras, como “pix enviado”, “transferência concluída” e “saldo disponível”.
Por que é difícil de detectar
Segundo Fernando Serto, Field CTO para a América Latina na Akamai, essa característica torna o golpe particularmente perigoso. “Como o Pix é um método de pagamento instantâneo, o ataque acontece dentro de um tempo muito curto, reduzindo as chances de reversão.” O especialista também ressalta que a detecção é difícil porque o ataque ocorre dentro de um fluxo legítimo.
A detecção desse tipo de ameaça exige análise comportamental em tempo real, já que o PixRevolution não utiliza técnicas tradicionais de ataque. O malware explora permissões concedidas voluntariamente pelo usuário e ferramentas legítimas do sistema operacional, o que dificulta a identificação por antivírus baseados apenas em assinaturas de ameaças conhecidas.
Quais bancos e apps estão na mira
A análise da Zimperium mostra que a campanha mira aplicativos de instituições financeiras amplamente utilizados no país, incluindo Nubank, Itaú Unibanco, Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos.
“O pagamento via Pix já é utilizado por 82% dos clientes de bancos digitais e 55% dos clientes de bancos tradicionais”, contextualiza Fernando Serto.
Como o vírus chega ao celular
Os aplicativos falsos se disfarçam de marcas amplamente conhecidas no Brasil. A análise de 14 amostras identificou imitações de Correios, Expedia, AVG Antivírus, XP Investimentos, Sicredi, de serviços locais de coleta de lixo, de exercícios de pilates e até do Superior Tribunal de Justiça. Quanto mais familiar for a marca, maior a chance de a vítima instalar sem desconfiar.
Os malwares financeiros são projetados para monitorar o comportamento do usuário e só são ativados quando identificam uma ação sensível, como a abertura de um aplicativo bancário ou durante o início de uma transação via Pix.
O Pix como alvo ideal para criminosos
O sistema de pagamentos instantâneos processa mais de 3 bilhões de transações por mês no Brasil, funciona 24 horas por dia e liquida transferências em segundos. Para os criminosos, essas características tornam o Pix um alvo ideal. Como as transferências são instantâneas e irrevogáveis, normalmente não existe possibilidade de cancelamento imediato. Muitas vítimas só percebem o golpe depois de conferir o extrato e notar que o dinheiro foi enviado para uma conta desconhecida.
Os pesquisadores também alertam que o modelo operacional usado pelo PixRevolution pode ser adaptado para outros sistemas de pagamento instantâneo no mundo, como o UPI na Índia e o FedNow nos Estados Unidos.
Como se proteger: veja as principais dicas
Para evitar cair no golpe, especialistas em segurança digital recomendam um conjunto de medidas essenciais:
1. Nunca instale aplicativos fora da loja oficial (Google Play Store). A recomendação dos especialistas é clara: os usuários devem evitar a instalação de aplicativos fora da loja oficial e restringir permissões de acessibilidade a aplicativos que realmente necessitem delas.
2. Desconfie de permissões de acessibilidade. O malware utiliza permissões de acessibilidade do Android para ler o conteúdo da tela, acompanhar interações do usuário e executar comandos automaticamente dentro dos aplicativos. Nunca conceda esse tipo de permissão a apps desconhecidos.
3. Verifique os dados antes de confirmar. Antes de apertar o botão de envio em qualquer transferência Pix, confira com atenção o nome completo do destinatário e a chave de destino exibida na tela de confirmação.
4. Monitore seu extrato regularmente. Verifique suas movimentações bancárias com regularidade para identificar qualquer transação suspeita o mais rápido possível.
5. Use um antivírus confiável. Aplicativos de segurança de empresas reputadas podem ajudar a detectar e bloquear ameaças conhecidas antes que causem danos.
6. Mantenha o sistema e os apps sempre atualizados, pois atualizações frequentemente corrigem vulnerabilidades exploradas por malwares.