Segurança
Malware PixRevolution sequestra transferências PIX no Android
Programa malicioso se instala disfarçado de apps conhecidos, assume controle do celular e substitui a chave PIX do destinatário no momento da transferência.
Um novo programa malicioso para Android está roubando dinheiro de brasileiros durante transferências PIX sem que a vítima perceba nada de errado.
O PixRevolution, como foi batizado, se instala disfarçado de aplicativos conhecidos, assume o controle do celular e substitui a chave PIX do destinatário no exato momento da transferência, desviando o dinheiro para a conta dos criminosos enquanto exibe uma tela de carregamento falsa.
O que torna esse malware diferente
Pesquisadores da empresa de segurança mobile Zimperium, que identificaram o trojan, detalham que este malware se comporta diferente de outros programas de sua espécie.
A maioria dos trojans bancários, programas maliciosos que visam roubar dados ou dinheiro de contas bancárias, funciona de forma automatizada.
Eles detectam quando a vítima abre um aplicativo de banco, exibem uma tela falsa para capturar senhas e tentam operar sozinhos.
O PixRevolution funciona de maneira diferente.
Ele exige que um operador, uma pessoa real ou um agente de inteligência artificial, esteja do outro lado da conexão assistindo à tela da vítima ao vivo e decidindo exatamente quando agir.
Isso resolve um problema clássico desse tipo de ataque.
Trojans automatizados param de funcionar quando um banco atualiza a interface do seu aplicativo. O PixRevolution não depende de nenhuma interface específica.
O operador lê a tela visualmente, como um ser humano faria, e age no momento certo, independentemente de qual banco é ou como o aplicativo está organizado.
Como a vítima é infectada
A campanha começa com páginas falsas da Google Play Store, a loja oficial de aplicativos do Android, hospedadas em sites controlados pelos criminosos. Essas páginas imitam as listagens reais, com descrições, avaliações e um botão de instalação.
Quando a vítima clica, em vez de ir para a loja oficial, o celular baixa um arquivo APK, o formato de instalação de aplicativos no Android, diretamente de um servidor malicioso.
Os aplicativos falsos se disfarçam de marcas amplamente conhecidas no Brasil.
A análise de 14 amostras identificou imitações de Correios, Expedia, AVG Antivírus, XP Investimentos, Sicredi, de serviços locais de coleta de lixo, de exercícios de pilates e até do Superior Tribunal de Justiça.
Quanto mais familiar for a marca, maior a chance de a vítima instalar sem desconfiar.
Alguns desses aplicativos são chamados de droppers, programas cujo único objetivo é instalar outro programa malicioso de forma silenciosa.
O dropper do PixRevolution carrega o trojan principal escondido dentro de si e usa ferramentas nativas do próprio Android para instalá-lo sem que a vítima precise confirmar nada.
A armadilha da acessibilidade
Depois de instalado, o aplicativo exibe uma tela de boas-vindas elaborada, com instruções específicas por fabricante de celular, para Samsung, Xiaomi e Motorola.
A tela pede que a vítima ative um serviço de acessibilidade chamado “Revolution.”
Serviços de acessibilidade são recursos legítimos do Android criados para ajudar pessoas com deficiências visuais ou motoras a usarem o celular.
Eles permitem que um aplicativo leia o conteúdo da tela, execute toques automaticamente e interaja com outros apps. São ferramentas poderosas e necessárias para muita gente.
O PixRevolution as transforma em arma.
A tela falsa ainda exibe a mensagem
Esta permissão é utilizada apenas para habilitar funcionalidades do aplicativo.
Nenhuma informação pessoal é coletada.
Isso é completamente mentira.
Mas a apresentação é convincente o suficiente para que muitas vítimas sigam as instruções.
Após ativar a permissão, a vítima é redirecionada para o site legítimo do Banco do Brasil, reforçando a ilusão de que tudo está normal.
Nos bastidores, o malware acabou de receber acesso total ao dispositivo.
O operador entra em cena
Com a permissão ativada, o PixRevolution estabelece uma conexão com um servidor C2, sigla de Command and Control, que é a central de operações dos criminosos.
É de lá que chegam os comandos e para lá que vão as informações capturadas do celular da vítima.
O malware também ativa a captura de tela em tempo real usando uma API nativa do Android chamada MediaProjection.
Uma API é um conjunto de ferramentas que o sistema operacional oferece aos desenvolvedores.
Aqui, os criminosos a usam para criar uma transmissão ao vivo da tela da vítima, que chega comprimida em tempo real ao operador do outro lado.
O trojan ainda monitora todos os textos que aparecem na tela da vítima e os compara com uma lista de mais de 80 frases em português relacionadas a transações financeiras, como “pix enviado”, “transferência concluída” e “saldo disponível”.
Essas frases ficam escondidas no código em base64, um método de codificação que transforma texto em uma sequência de caracteres aparentemente aleatória para dificultar a detecção por softwares de segurança simples.
Quando uma dessas frases aparece na tela, o malware dispara um alerta com uma captura do momento exato para o servidor dos criminosos.
O golpe em si
Quando a vítima abre um aplicativo bancário e começa a fazer uma transferência PIX, o operador vê tudo acontecer ao vivo.
Ele observa a vítima digitar a chave PIX do destinatário verdadeiro e, no momento certo, envia um comando ao malware com a própria chave PIX dos criminosos.
O trojan então executa uma sequência em frações de segundo.
Primeiro, exibe uma tela de sobreposição com o “Aguarde…”, que é uma página web armazenada localmente no celular e exibida dentro do aplicativo.
Essa tela bloqueia completamente a visão da vítima.
Enquanto o spinner gira na tela, o malware localiza o campo onde a chave PIX foi digitada, apaga o conteúdo e substitui pela chave dos criminosos.
Em seguida, simula um toque no botão de confirmação.
Para isso, ele não usa coordenadas fixas de tela.
Ele consulta a estrutura da interface do aplicativo bancário em tempo real para encontrar o botão correto, o que torna o ataque funcional em praticamente qualquer celular e qualquer app de banco.
O overlay desaparece.
A vítima vê uma tela de “transferência concluída” completamente real, afinal, a transferência de fato ocorreu.
O dinheiro foi para a conta errada.
Por que o PIX é o alvo perfeito
O PIX processa mais de 3 bilhões de transações por mês no Brasil, opera 24 horas por dia e liquida pagamentos em segundos.
Para os criminosos, essas mesmas características que o tornam conveniente o tornam irresistível como alvo.
Uma transferência PIX é instantânea e irrevogável.
- Não existe janela de estorno.
- Não existe período de espera para contestação.
- A vítima normalmente só descobre o problema muito depois, quando confere o extrato e percebe que o dinheiro foi para uma conta desconhecida.
Nesse ponto, a recuperação é difícil.
Como se proteger
A principal defesa contra o PixRevolution começa antes da instalação de qualquer aplicativo.
Baixar apps exclusivamente pela Google Play Store oficial, desconfiar de links recebidos por mensagem ou encontrados em sites desconhecidos e nunca ativar serviços de acessibilidade a pedido de um aplicativo são os primeiros passos.
A Zimperium alerta que a detecção desse tipo de ameaça depende de análise comportamental em tempo real, e não de antivírus tradicionais baseados em assinaturas de ameaças conhecidas.
Isso porque o PixRevolution não usa técnicas convencionais de ataque.
Ele abusa de permissões que a própria vítima concede voluntariamente e de ferramentas legítimas do sistema operacional, o que o torna invisível para defesas estáticas.
Os pesquisadores alertam ainda que o modelo operacional do PixRevolution tem potencial para se expandir para outros sistemas de pagamento instantâneo ao redor do mundo, como o UPI na Índia e o FedNow nos Estados Unidos.
Por Cecilia Ferraz
Link original da matéria
O Portal 7Minutos deseja a todos um bom dia pic.twitter.com/76cDh70cEI
— 7Minutos Notícias (@7minutos_news) December 15, 2025
Siga o ‘ 7Minutos’ nas redes sociais
X (ex-Twitter)
Instagram
Facebook
Truth Social
