Malware PixRevolution sequestra transferências Pix em celulares Android

Transferências Pix – Um novo programa malicioso para Android está roubando dinheiro de brasileiros durante transferências Pix sem que a vítima perceba nada de errado. O PixRevolution, como foi batizado, se instala disfarçado de aplicativos conhecidos, assume o controle do celular e substitui a chave Pix do destinatário no exato momento da transferência, desviando o dinheiro para a conta dos criminosos enquanto exibe uma tela de carregamento falsa.

A ameaça foi identificada por pesquisadores da empresa de segurança mobile Zimperium, que analisaram o funcionamento do trojan e apontaram um método de ataque diferente do usado pela maioria dos malwares bancários.

LEIA: Patente do Ozempic expira neste mês no Brasil, mas genérico deve demorar

Segundo os pesquisadores, a maioria dos trojans bancários opera de forma automatizada. Esses programas detectam quando a vítima abre o aplicativo do banco, exibem telas falsas para capturar senhas e tentam realizar operações automaticamente.

O PixRevolution, no entanto, exige a presença de um operador humano — ou até de um agente de inteligência artificial, do outro lado da conexão. Essa pessoa acompanha a tela da vítima ao vivo e decide o momento exato de agir.

Essa estratégia resolve um problema comum para criminosos que usam trojans automatizados: quando um banco atualiza a interface do aplicativo, o malware deixa de funcionar. Como o PixRevolution depende da leitura visual feita pelo operador, ele consegue agir independentemente de qual banco é usado ou de como o aplicativo está organizado.

Como ocorre a infecção

A campanha começa com páginas falsas da Google Play Store, hospedadas em sites controlados pelos criminosos. Essas páginas imitam as listagens reais de aplicativos, com descrições, avaliações e um botão de instalação.

Quando o usuário clica para baixar o aplicativo, em vez de ser direcionado para a loja oficial, o celular faz o download de um arquivo APK, formato de instalação de aplicativos Android, diretamente de um servidor malicioso.

Os aplicativos falsos imitam marcas amplamente conhecidas no Brasil. A análise de 14 amostras identificou versões falsas de Correios, Expedia, AVG Antivírus, XP Investimentos, Sicredi, serviços locais de coleta de lixo, aplicativos de exercícios de pilates e até do Superior Tribunal de Justiça.

Alguns desses aplicativos funcionam como “droppers”, programas criados apenas para instalar silenciosamente outro malware. No caso do PixRevolution, o dropper carrega o trojan principal escondido e usa ferramentas nativas do Android para instalá-lo sem que a vítima precise confirmar a operação.

O abuso de serviços de acessibilidade

Após a instalação, o aplicativo exibe uma tela de boas-vindas com instruções específicas para celulares de diferentes fabricantes, como Samsung, Xiaomi e Motorola. A interface pede que o usuário ative um serviço de acessibilidade chamado “Revolution”.

Esses serviços são recursos legítimos do Android criados para ajudar pessoas com deficiências visuais ou motoras a usar o celular. Eles permitem que aplicativos leiam o conteúdo da tela, executem toques automaticamente e interajam com outros apps.

O PixRevolution explora justamente essas capacidades.

A tela falsa ainda exibe a mensagem: “Esta permissão é utilizada apenas para habilitar funcionalidades do aplicativo. Nenhuma informação pessoal é coletada.” Apesar da afirmação, o objetivo é obter controle total do dispositivo.

Depois que a permissão é ativada, a vítima é redirecionada para o site legítimo do Banco do Brasil, reforçando a impressão de que o processo ocorreu normalmente.

Conexão com os criminosos

Com o acesso concedido, o malware estabelece conexão com um servidor de comando e controle, conhecido como C2 (Command and Control), que funciona como central de operações dos criminosos.

O PixRevolution também ativa a captura de tela em tempo real usando a API MediaProjection do Android, ferramenta legítima do sistema que permite transmitir o conteúdo exibido no dispositivo. Com isso, o operador acompanha tudo o que a vítima faz no celular.

O trojan ainda monitora textos exibidos na tela e os compara com uma lista de mais de 80 frases em português relacionadas a transações financeiras, como “pix enviado”, “transferência concluída” e “saldo disponível”. Essas expressões ficam codificadas em base64 dentro do código do malware para dificultar a detecção por softwares de segurança.

Quando uma dessas frases aparece, o sistema envia automaticamente um alerta e uma captura da tela para os criminosos.

O momento do golpe

Quando a vítima abre o aplicativo bancário e inicia uma transferência Pix, o operador acompanha o processo ao vivo. Ele observa a digitação da chave do destinatário verdadeiro e, no momento certo, envia ao malware a chave Pix controlada pelos criminosos.

Em seguida, o trojan executa rapidamente uma sequência de ações. Primeiro, exibe uma tela de sobreposição com a mensagem “Aguarde…”, armazenada localmente no celular. Essa tela bloqueia completamente a visão da vítima.

Enquanto o indicador de carregamento aparece, o malware localiza o campo onde a chave Pix foi digitada, apaga o conteúdo e substitui pela chave dos criminosos. Depois disso, simula o toque no botão de confirmação.

Para realizar essa etapa, o trojan analisa a estrutura da interface do aplicativo bancário em tempo real, em vez de usar coordenadas fixas na tela. Isso permite que o ataque funcione em praticamente qualquer celular e em diferentes aplicativos de banco.

Quando a tela falsa desaparece, o usuário vê a mensagem legítima de “transferência concluída”. O pagamento realmente foi realizado, mas para a conta errada.

Por que o Pix virou alvo

O sistema de pagamentos instantâneos processa mais de 3 bilhões de transações por mês no Brasil, funciona 24 horas por dia e liquida transferências em segundos. Para os criminosos, essas características tornam o Pix um alvo ideal.

Como as transferências são instantâneas e irrevogáveis, normalmente não existe possibilidade de cancelamento imediato. Muitas vítimas só percebem o golpe depois de conferir o extrato e notar que o dinheiro foi enviado para uma conta desconhecida.

Medidas de proteção

Especialistas recomendam algumas medidas para reduzir o risco de infecção. A principal delas é baixar aplicativos exclusivamente pela Google Play Store oficial e desconfiar de links recebidos por mensagens ou encontrados em sites desconhecidos.

Outra orientação importante é nunca ativar serviços de acessibilidade a pedido de aplicativos cuja função não dependa claramente desse recurso.

De acordo com a Zimperium, a detecção desse tipo de ameaça exige análise comportamental em tempo real, já que o PixRevolution não utiliza técnicas tradicionais de ataque. O malware explora permissões concedidas voluntariamente pelo usuário e ferramentas legítimas do sistema operacional, o que dificulta a identificação por antivírus baseados apenas em assinaturas de ameaças conhecidas.

Os pesquisadores também alertam que o modelo operacional usado pelo PixRevolution pode ser adaptado para outros sistemas de pagamento instantâneo no mundo, como o UPI na Índia e o FedNow nos Estados Unidos.

 

(Com informações de Tecmundo)

(Foto: Reprodução/Freepik/mohammadhridoy_11)