Instagram
Instagram

Novo trojan do Android intercepta pagamentos Pix no Brasil

Um novo malware para Android, identificado por pesquisadores da equipe zLabs, está explorando o sistema de pagamentos instantâneos Pix para desviar transferências em tempo real no Brasil. Chamado de PixRevolution, o trojan bancário monitora a tela do smartphone da vítima e intervém no momento exato em que uma transferência é realizada.

Segundo a análise, o ataque acontece quando o usuário confirma uma operação. Embora a interface mostre que o envio foi concluído normalmente, o valor pode ser redirecionado para uma conta controlada por criminosos. O golpe se aproveita da popularidade do Pix, criado pelo Banco Central do Brasil em 2020, que já é utilizado por mais de 76% da população e processa mais de 3 bilhões de transações por mês.

Como funciona o malware PixRevolution

O PixRevolution permanece oculto no dispositivo até que o usuário inicie uma transferência via Pix. Quando o valor e a chave do destinatário são inseridos e a operação é confirmada, um indicador de carregamento com a mensagem “Aguarde…” aparece na tela.

Nesse momento, o malware pode substituir a chave Pix digitada pelo usuário por outra controlada pelos criminosos. A confirmação da transferência é simulada normalmente, dando a impressão de que o dinheiro foi enviado ao destinatário correto.

O diferencial desse trojan é a presença de um operador humano ou agente automatizado que acompanha a tela da vítima em tempo quase real. Esse operador decide exatamente quando agir, interceptando a transação no instante em que ela ocorre.

Distribuição usa aplicativos falsos

A campanha utiliza páginas falsas que imitam a Google Play Store para enganar usuários. Essas páginas reproduzem a aparência da loja oficial, com descrições, avaliações e botão de instalação.

Ao clicar em “Instalar”, porém, o usuário baixa um arquivo APK malicioso hospedado em domínios controlados pelos atacantes. A análise identificou campanhas que se passam por aplicativos conhecidos no Brasil.

Entre os exemplos observados estão apps que imitam Expedia, Correios, XP Investimentos, Sicredi e AVG Antivirus, além de referências ao Superior Tribunal de Justiça (STJ) e a serviços locais.

Algumas dessas aplicações funcionam como “droppers”, cujo objetivo é instalar silenciosamente o trojan principal no aparelho.

Campanha utiliza páginas falsas que imitam a Play Store (Imagem: PixieMe / Shutterstock.com)

Engenharia social e permissões perigosas

Após a instalação, o aplicativo exibe uma tela de configuração que pede ao usuário para ativar um serviço de acessibilidade chamado “Revolution”.

O texto afirma que a permissão é necessária apenas para habilitar recursos do aplicativo e garante que “nenhuma informação pessoal é coletada”. A apresentação inclui instruções específicas para aparelhos de fabricantes como Samsung, Xiaomi e Motorola, o que aumenta a credibilidade do processo.

Na prática, essa permissão dá ao malware acesso amplo ao dispositivo. Ele passa a poder ler textos exibidos na tela, realizar toques e gestos e acompanhar atividades em qualquer aplicativo, incluindo apps bancários.

Monitoramento em tempo real da tela

Depois de ativado, o PixRevolution estabelece conexão permanente com um servidor de comando e controle (C2), usando uma ligação TCP na porta 9000 e um endpoint HTTP adicional na porta 3030.

O malware também ativa a captura de tela usando a API MediaProjection do Android, criando um espelhamento da tela do aparelho. Cada frame é capturado, comprimido e enviado ao servidor.

Com isso, o operador remoto consegue acompanhar exatamente o que o usuário vê no celular e aguarda até identificar sinais de uma transação financeira.

Detecção de transferências e interceptação

O trojan contém mais de 80 frases em português relacionadas a operações financeiras, como “pix enviado”, “transferência concluída” e “pagamento confirmado”.

Quando detecta esses termos na tela, o malware envia um alerta ao servidor com o texto exibido e, em alguns casos, uma captura da tela.

Se o operador identifica que uma transferência Pix está em andamento, ele envia um comando para substituir a chave digitada pela vítima. O malware então executa automaticamente a alteração, confirma o pagamento e remove a tela de carregamento.

Todo o processo acontece em poucos segundos, sem sinais visíveis para o usuário.

Ataque pode atingir qualquer banco

De acordo com os pesquisadores, o PixRevolution não depende de uma lista fixa de aplicativos bancários. Como o malware monitora todas as telas do dispositivo, ele pode funcionar com qualquer app que utilize Pix.

Este golpe não depende de uma lista específica de aplicativos bancários, podendo atingir qualquer app que utilize Pix (Imagem: Blossom Stock Studio / Shutterstock.com)

O código também inclui logotipos de 10 instituições financeiras brasileiras, entre elas Nubank, Itaú Unibanco, Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos.

Esses elementos são usados para personalizar telas falsas e tornar a interface mais convincente durante o ataque.

Por que o Pix é alvo dos criminosos

A estrutura do Pix é um fator central para o sucesso desse tipo de fraude. As transferências são instantâneas, funcionam 24 horas por dia e não podem ser revertidas após a conclusão.

Com mais de 150 milhões de usuários cadastrados, mesmo uma taxa pequena de sucesso pode resultar em prejuízos financeiros significativos.

Os pesquisadores apontam que a infraestrutura usada na campanha indica uma operação organizada, com domínios dedicados, múltiplas etapas de instalação do malware e sistemas de monitoramento em tempo real.

O post Novo trojan do Android intercepta pagamentos Pix no Brasil apareceu primeiro em Olhar Digital.

Notícias Recentes

© Copyright 2025 Joy Radio | All Rights Reserved.