{"id":16272,"date":"2026-03-12T11:30:29","date_gmt":"2026-03-12T14:30:29","guid":{"rendered":"https:\/\/fenati.org.br\/?p=16272"},"modified":"2026-03-12T13:06:00","modified_gmt":"2026-03-12T16:06:00","slug":"malware-sequestra-transferencias-pix-celulares","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/malware-sequestra-transferencias-pix-celulares\/","title":{"rendered":"Malware PixRevolution sequestra transfer\u00eancias Pix em celulares Android"},"content":{"rendered":"<p><strong>Transfer\u00eancias Pix &#8211;<\/strong> Um novo programa malicioso para Android est\u00e1 roubando dinheiro de brasileiros durante transfer\u00eancias Pix sem que a v\u00edtima perceba nada de errado. O PixRevolution, como foi batizado, se instala disfar\u00e7ado de aplicativos conhecidos, assume o controle do celular e substitui a chave Pix do destinat\u00e1rio no exato momento da transfer\u00eancia, desviando o dinheiro para a conta dos criminosos enquanto exibe uma tela de carregamento falsa.<\/p>\n<p>A amea\u00e7a foi identificada por pesquisadores da empresa de seguran\u00e7a mobile Zimperium, que analisaram o funcionamento do trojan e apontaram um m\u00e9todo de ataque diferente do usado pela maioria dos <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Malware\" target=\"_blank\" rel=\"noopener nofollow\">malwares<\/a> banc\u00e1rios.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/patente-ozempic-expira-neste-mes-brasil\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Patente do Ozempic expira neste m\u00eas no Brasil, mas gen\u00e9rico deve demorar<\/strong><\/a><\/p>\n<p>Segundo os pesquisadores, a maioria dos trojans banc\u00e1rios opera de forma automatizada. Esses programas detectam quando a v\u00edtima abre o aplicativo do banco, exibem telas falsas para capturar senhas e tentam realizar opera\u00e7\u00f5es automaticamente.<\/p>\n<p>O PixRevolution, no entanto, exige a presen\u00e7a de um operador humano \u2014 ou at\u00e9 de um agente de intelig\u00eancia artificial, do outro lado da conex\u00e3o. Essa pessoa acompanha a tela da v\u00edtima ao vivo e decide o momento exato de agir.<\/p>\n<p>Essa estrat\u00e9gia resolve um problema comum para criminosos que usam trojans automatizados: quando um banco atualiza a interface do aplicativo, o malware deixa de funcionar. Como o PixRevolution depende da leitura visual feita pelo operador, ele consegue agir independentemente de qual banco \u00e9 usado ou de como o aplicativo est\u00e1 organizado.<\/p>\n<p><strong>Como ocorre a infec\u00e7\u00e3o<\/strong><\/p>\n<p>A campanha come\u00e7a com p\u00e1ginas falsas da Google Play Store, hospedadas em sites controlados pelos criminosos. Essas p\u00e1ginas imitam as listagens reais de aplicativos, com descri\u00e7\u00f5es, avalia\u00e7\u00f5es e um bot\u00e3o de instala\u00e7\u00e3o.<\/p>\n<p>Quando o usu\u00e1rio clica para baixar o aplicativo, em vez de ser direcionado para a loja oficial, o celular faz o download de um arquivo APK, formato de instala\u00e7\u00e3o de aplicativos Android, diretamente de um servidor malicioso.<\/p>\n<p>Os aplicativos falsos imitam marcas amplamente conhecidas no Brasil. A an\u00e1lise de 14 amostras identificou vers\u00f5es falsas de Correios, Expedia, AVG Antiv\u00edrus, XP Investimentos, Sicredi, servi\u00e7os locais de coleta de lixo, aplicativos de exerc\u00edcios de pilates e at\u00e9 do Superior Tribunal de Justi\u00e7a.<\/p>\n<p>Alguns desses aplicativos funcionam como \u201cdroppers\u201d, programas criados apenas para instalar silenciosamente outro malware. No caso do PixRevolution, o dropper carrega o trojan principal escondido e usa ferramentas nativas do Android para instal\u00e1-lo sem que a v\u00edtima precise confirmar a opera\u00e7\u00e3o.<\/p>\n<p><strong>O abuso de servi\u00e7os de acessibilidade<\/strong><\/p>\n<p>Ap\u00f3s a instala\u00e7\u00e3o, o aplicativo exibe uma tela de boas-vindas com instru\u00e7\u00f5es espec\u00edficas para celulares de diferentes fabricantes, como Samsung, Xiaomi e Motorola. A interface pede que o usu\u00e1rio ative um servi\u00e7o de acessibilidade chamado \u201cRevolution\u201d.<\/p>\n<p>Esses servi\u00e7os s\u00e3o recursos leg\u00edtimos do Android criados para ajudar pessoas com defici\u00eancias visuais ou motoras a usar o celular. Eles permitem que aplicativos leiam o conte\u00fado da tela, executem toques automaticamente e interajam com outros apps.<\/p>\n<p>O PixRevolution explora justamente essas capacidades.<\/p>\n<p>A tela falsa ainda exibe a mensagem: \u201cEsta permiss\u00e3o \u00e9 utilizada apenas para habilitar funcionalidades do aplicativo. Nenhuma informa\u00e7\u00e3o pessoal \u00e9 coletada.\u201d Apesar da afirma\u00e7\u00e3o, o objetivo \u00e9 obter controle total do dispositivo.<\/p>\n<p>Depois que a permiss\u00e3o \u00e9 ativada, a v\u00edtima \u00e9 redirecionada para o site leg\u00edtimo do Banco do Brasil, refor\u00e7ando a impress\u00e3o de que o processo ocorreu normalmente.<\/p>\n<p><strong>Conex\u00e3o com os criminosos<\/strong><\/p>\n<p>Com o acesso concedido, o malware estabelece conex\u00e3o com um servidor de comando e controle, conhecido como C2 (Command and Control), que funciona como central de opera\u00e7\u00f5es dos criminosos.<\/p>\n<p>O PixRevolution tamb\u00e9m ativa a captura de tela em tempo real usando a API MediaProjection do Android, ferramenta leg\u00edtima do sistema que permite transmitir o conte\u00fado exibido no dispositivo. Com isso, o operador acompanha tudo o que a v\u00edtima faz no celular.<\/p>\n<p>O trojan ainda monitora textos exibidos na tela e os compara com uma lista de mais de 80 frases em portugu\u00eas relacionadas a transa\u00e7\u00f5es financeiras, como \u201cpix enviado\u201d, \u201ctransfer\u00eancia conclu\u00edda\u201d e \u201csaldo dispon\u00edvel\u201d. Essas express\u00f5es ficam codificadas em base64 dentro do c\u00f3digo do malware para dificultar a detec\u00e7\u00e3o por softwares de seguran\u00e7a.<\/p>\n<p>Quando uma dessas frases aparece, o sistema envia automaticamente um alerta e uma captura da tela para os criminosos.<\/p>\n<p><strong>O momento do golpe<\/strong><\/p>\n<p>Quando a v\u00edtima abre o aplicativo banc\u00e1rio e inicia uma transfer\u00eancia Pix, o operador acompanha o processo ao vivo. Ele observa a digita\u00e7\u00e3o da chave do destinat\u00e1rio verdadeiro e, no momento certo, envia ao malware a chave Pix controlada pelos criminosos.<\/p>\n<p>Em seguida, o trojan executa rapidamente uma sequ\u00eancia de a\u00e7\u00f5es. Primeiro, exibe uma tela de sobreposi\u00e7\u00e3o com a mensagem \u201cAguarde\u2026\u201d, armazenada localmente no celular. Essa tela bloqueia completamente a vis\u00e3o da v\u00edtima.<\/p>\n<p>Enquanto o indicador de carregamento aparece, o malware localiza o campo onde a chave Pix foi digitada, apaga o conte\u00fado e substitui pela chave dos criminosos. Depois disso, simula o toque no bot\u00e3o de confirma\u00e7\u00e3o.<\/p>\n<p>Para realizar essa etapa, o trojan analisa a estrutura da interface do aplicativo banc\u00e1rio em tempo real, em vez de usar coordenadas fixas na tela. Isso permite que o ataque funcione em praticamente qualquer celular e em diferentes aplicativos de banco.<\/p>\n<p>Quando a tela falsa desaparece, o usu\u00e1rio v\u00ea a mensagem leg\u00edtima de \u201ctransfer\u00eancia conclu\u00edda\u201d. O pagamento realmente foi realizado, mas para a conta errada.<\/p>\n<p><strong>Por que o Pix virou alvo<\/strong><\/p>\n<p>O sistema de pagamentos instant\u00e2neos processa mais de 3 bilh\u00f5es de transa\u00e7\u00f5es por m\u00eas no Brasil, funciona 24 horas por dia e liquida transfer\u00eancias em segundos. Para os criminosos, essas caracter\u00edsticas tornam o Pix um alvo ideal.<\/p>\n<p>Como as transfer\u00eancias s\u00e3o instant\u00e2neas e irrevog\u00e1veis, normalmente n\u00e3o existe possibilidade de cancelamento imediato. Muitas v\u00edtimas s\u00f3 percebem o golpe depois de conferir o extrato e notar que o dinheiro foi enviado para uma conta desconhecida.<\/p>\n<p><strong>Medidas de prote\u00e7\u00e3o<\/strong><\/p>\n<p>Especialistas recomendam algumas medidas para reduzir o risco de infec\u00e7\u00e3o. A principal delas \u00e9 baixar aplicativos exclusivamente pela Google Play Store oficial e desconfiar de links recebidos por mensagens ou encontrados em sites desconhecidos.<\/p>\n<p>Outra orienta\u00e7\u00e3o importante \u00e9 nunca ativar servi\u00e7os de acessibilidade a pedido de aplicativos cuja fun\u00e7\u00e3o n\u00e3o dependa claramente desse recurso.<\/p>\n<p>De acordo com a Zimperium, a detec\u00e7\u00e3o desse tipo de amea\u00e7a exige an\u00e1lise comportamental em tempo real, j\u00e1 que o PixRevolution n\u00e3o utiliza t\u00e9cnicas tradicionais de ataque. O malware explora permiss\u00f5es concedidas voluntariamente pelo usu\u00e1rio e ferramentas leg\u00edtimas do sistema operacional, o que dificulta a identifica\u00e7\u00e3o por antiv\u00edrus baseados apenas em assinaturas de amea\u00e7as conhecidas.<\/p>\n<p>Os pesquisadores tamb\u00e9m alertam que o modelo operacional usado pelo PixRevolution pode ser adaptado para outros sistemas de pagamento instant\u00e2neo no mundo, como o UPI na \u00cdndia e o FedNow nos Estados Unidos.<\/p>\n<p>&nbsp;<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><\/p>\n<p><em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/mohammadhridoy_11)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Programa se disfar\u00e7a de aplicativos populares, obt\u00e9m acesso total ao celular e altera a chave Pix do destinat\u00e1rio no momento da transfer\u00eancia.<\/p>","protected":false},"author":16,"featured_media":16273,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-16272","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16272","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=16272"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16272\/revisions"}],"predecessor-version":[{"id":16274,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16272\/revisions\/16274"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/16273"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=16272"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=16272"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=16272"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}