{"id":16217,"date":"2026-03-11T10:52:38","date_gmt":"2026-03-11T13:52:38","guid":{"rendered":"https:\/\/fenati.org.br\/?p=16217"},"modified":"2026-03-11T13:39:42","modified_gmt":"2026-03-11T16:39:42","slug":"golpe-falso-inss-vitimas-transferencias-bancarias","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/golpe-falso-inss-vitimas-transferencias-bancarias\/","title":{"rendered":"Golpe usa falso app do INSS para espionar v\u00edtimas e alterar transfer\u00eancias banc\u00e1rias"},"content":{"rendered":"<p><strong>INSS &#8211;<\/strong> Um malware que se passa por aplicativo do Instituto Nacional do Seguro Social (INSS) est\u00e1 sendo usado para infectar celulares <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Android\" target=\"_blank\" rel=\"noopener nofollow\">Android<\/a> no Brasil. O alerta foi divulgado pela empresa de ciberseguran\u00e7a Kaspersky, que identificou o v\u00edrus, chamado BeatBanker, atuando com diferentes fun\u00e7\u00f5es criminosas \u2014 desde minera\u00e7\u00e3o de criptomoedas at\u00e9 roubo de transfer\u00eancias financeiras e espionagem do usu\u00e1rio.<\/p>\n<p>O golpe come\u00e7a antes mesmo da instala\u00e7\u00e3o do aplicativo. Criminosos criaram um site falso chamado <em>cupomgratisfood[.]shop<\/em>, que imita visualmente a Google Play Store. Na p\u00e1gina, est\u00e1 dispon\u00edvel um aplicativo chamado \u201cINSS Reembolso\u201d, apresentado como se fosse um portal oficial do instituto para consulta de benef\u00edcios, aposentadorias e documentos previdenci\u00e1rios.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/mais-380-mil-licenca-maternidade-5-anos-brasil\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Mais de 380 mil trabalhadoras s\u00e3o demitidas ap\u00f3s licen\u00e7a-maternidade em 5 anos no Brasil<\/strong><\/a><\/p>\n<p>Na pr\u00e1tica, o download instala um Trojan, tipo de malware que se disfar\u00e7a de aplicativo leg\u00edtimo para enganar a v\u00edtima. Depois de instalado, o BeatBanker passa a controlar o dispositivo sem que o usu\u00e1rio perceba.<\/p>\n<p><strong>M\u00faltiplas camadas de oculta\u00e7\u00e3o<\/strong><\/p>\n<p>Segundo a an\u00e1lise da Kaspersky, o arquivo malicioso chega ao celular envolto em v\u00e1rias camadas de prote\u00e7\u00e3o que dificultam a an\u00e1lise por pesquisadores e ferramentas de seguran\u00e7a.<\/p>\n<p>Em vez de gravar o c\u00f3digo malicioso no armazenamento do celular, o v\u00edrus carrega suas fun\u00e7\u00f5es diretamente na mem\u00f3ria tempor\u00e1ria do aparelho. Como muitos antiv\u00edrus m\u00f3veis verificam principalmente arquivos armazenados no dispositivo, essa estrat\u00e9gia dificulta a detec\u00e7\u00e3o.<\/p>\n<p>O malware tamb\u00e9m consegue identificar se est\u00e1 sendo analisado em um ambiente de testes. Pesquisadores costumam utilizar emuladores \u2014 programas que simulam celulares em computadores \u2014 para estudar v\u00edrus. Caso o BeatBanker detecte esse tipo de ambiente, ele encerra automaticamente o pr\u00f3prio processo para evitar investiga\u00e7\u00e3o.<\/p>\n<p>\u00c1udio quase impercept\u00edvel impede encerramento do processo<\/p>\n<p>Uma das t\u00e9cnicas mais incomuns do malware envolve um arquivo de \u00e1udio quase inaud\u00edvel. O v\u00edrus mant\u00e9m um \u00e1udio de cinco segundos tocando continuamente em loop, com volume praticamente impercept\u00edvel para o usu\u00e1rio.<\/p>\n<p>No sistema Android, aplicativos que est\u00e3o reproduzindo m\u00eddia ativa possuem maior prote\u00e7\u00e3o contra encerramento autom\u00e1tico. Isso ocorre porque o sistema entende que interromper um \u00e1udio poderia prejudicar a experi\u00eancia do usu\u00e1rio.<\/p>\n<p>O BeatBanker explora exatamente essa regra para continuar ativo. De acordo com os pesquisadores, o arquivo de \u00e1udio cont\u00e9m palavras em chin\u00eas, o que pode sugerir a origem ou inspira\u00e7\u00e3o dos criadores.<\/p>\n<p>Al\u00e9m disso, o malware fixa uma notifica\u00e7\u00e3o falsa de \u201catualiza\u00e7\u00e3o do sistema\u201d na barra de notifica\u00e7\u00f5es do aparelho, dificultando ainda mais o encerramento do processo malicioso.<\/p>\n<p><strong>Celular pode virar minerador de criptomoedas<\/strong><\/p>\n<p>Quando a v\u00edtima interage com um bot\u00e3o de atualiza\u00e7\u00e3o exibido em uma tela falsa da Play Store criada pelo v\u00edrus, o BeatBanker baixa um minerador de criptomoedas.<\/p>\n<p>Nesse caso, o celular passa a ser usado para realizar c\u00e1lculos matem\u00e1ticos que validam transa\u00e7\u00f5es na rede da criptomoeda Monero (XMR). Os criminosos recebem as recompensas da minera\u00e7\u00e3o sem o conhecimento do usu\u00e1rio.<\/p>\n<p>Para evitar levantar suspeitas, o malware monitora a temperatura da bateria e o n\u00edvel de carga do aparelho. Se o celular estiver aquecendo demais ou com bateria baixa, a minera\u00e7\u00e3o \u00e9 pausada automaticamente.<\/p>\n<p>Para enviar comandos aos dispositivos infectados, os criminosos utilizam o Firebase Cloud Messaging (FCM), servi\u00e7o leg\u00edtimo do Google usado por milhares de aplicativos para envio de notifica\u00e7\u00f5es. Ao utilizar essa infraestrutura confi\u00e1vel, o tr\u00e1fego malicioso se mistura a comunica\u00e7\u00f5es leg\u00edtimas e se torna mais dif\u00edcil de identificar.<\/p>\n<p><strong>Golpe altera transfer\u00eancias de criptomoedas<\/strong><\/p>\n<p>Al\u00e9m da minera\u00e7\u00e3o, o BeatBanker tamb\u00e9m pode executar ataques financeiros em tempo real. Para isso, ele solicita permiss\u00f5es de acessibilidade do Android \u2014 recurso originalmente criado para auxiliar pessoas com defici\u00eancia a utilizar o celular.<\/p>\n<p>Com esse acesso ampliado, o malware monitora a atividade do usu\u00e1rio. Quando detecta que a v\u00edtima est\u00e1 utilizando aplicativos como Binance ou Trust Wallet para realizar transfer\u00eancias de USDT, criptomoeda vinculada ao d\u00f3lar americano, o ataque \u00e9 acionado.<\/p>\n<p>O v\u00edrus exibe uma tela falsa sobre o aplicativo original e substitui silenciosamente o endere\u00e7o da carteira de destino pelo endere\u00e7o controlado pelos criminosos. Como transa\u00e7\u00f5es com criptomoedas s\u00e3o irrevers\u00edveis, o preju\u00edzo pode ocorrer antes que a v\u00edtima perceba a fraude.<\/p>\n<p><strong>Vers\u00f5es recentes ampliam controle sobre o celular<\/strong><\/p>\n<p>Nas vers\u00f5es mais recentes identificadas pela Kaspersky, o m\u00f3dulo banc\u00e1rio do BeatBanker foi substitu\u00eddo pelo BTMOB RAT, uma ferramenta de acesso remoto vendida no modelo MaaS (Malware como Servi\u00e7o).<\/p>\n<p>Nesse modelo, criminosos pagam para utilizar o software, da mesma forma que empresas contratam servi\u00e7os digitais leg\u00edtimos. Isso indica que diferentes grupos podem estar operando o malware ao alugar a ferramenta.<\/p>\n<p>Entre as funcionalidades do BTMOB RAT est\u00e3o grava\u00e7\u00e3o de tela em tempo real, captura de tudo o que a v\u00edtima digita, acesso \u00e0s c\u00e2meras do aparelho e monitoramento da localiza\u00e7\u00e3o por GPS.<\/p>\n<p><strong>Como se proteger<\/strong><\/p>\n<p>A Kaspersky recomenda baixar aplicativos apenas pela Google Play Store oficial e sempre verificar o nome do desenvolvedor antes da instala\u00e7\u00e3o.<\/p>\n<p>Tamb\u00e9m \u00e9 importante analisar com aten\u00e7\u00e3o as permiss\u00f5es solicitadas pelos aplicativos, especialmente aquelas relacionadas a acessibilidade ou instala\u00e7\u00e3o de pacotes de terceiros.<\/p>\n<p>Manter o sistema operacional do celular e o antiv\u00edrus atualizados continua sendo uma das formas mais eficazes de reduzir o risco de infec\u00e7\u00e3o por amea\u00e7as digitais como o BeatBanker.<\/p>\n<p>&nbsp;<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><\/p>\n<p><em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik)<\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Malware chamado BeatBanker se disfar\u00e7a de aplicativo do INSS e pode minerar criptomoedas, espionar v\u00edtimas e alterar transfer\u00eancias digitais<\/p>","protected":false},"author":16,"featured_media":16220,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-16217","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16217","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=16217"}],"version-history":[{"count":2,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16217\/revisions"}],"predecessor-version":[{"id":16222,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16217\/revisions\/16222"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/16220"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=16217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=16217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=16217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}