Um novo tipo de vírus bancário voltado para dispositivos Android tem como alvo usuários brasileiros e utiliza o sistema Pix para desviar dinheiro de forma quase imediata. De acordo com um relatório da Zimperium, o malware, chamado PixRevolution, é capaz de interferir em transferências no exato momento em que elas estão sendo realizadas.
Segundo a Zimperium, o PixRevolution integra uma nova geração de trojans financeiros criados especificamente para explorar o Pix no Brasil. Classificado como um “agent-operated Android trojan”, esse tipo de malware permite que um operador acompanhe e interaja com o dispositivo da vítima em tempo real. A campanha tem como alvo aplicativos de instituições financeiras populares, como Nubank, Itaú Unibanco, Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos.
O ataque combina espionagem com controle ativo do aparelho. Utilizando permissões de acessibilidade do Android, o vírus consegue ler conteúdos exibidos na tela, monitorar interações e até executar comandos automaticamente. Entre as técnicas empregadas estão sobreposição de tela, captura de credenciais, interceptação de notificações e automação dentro dos aplicativos bancários.
A infecção geralmente começa com aplicativos falsos que imitam serviços conhecidos, como Expedia, Correios ou até instituições oficiais, além de outros nomes usados como isca. Esses apps enganam o usuário e facilitam a instalação do malware. Na prática, o vírus não apenas observa, mas também executa ações, podendo preencher dados e confirmar transações sem que a vítima perceba.
Fernando Serto, Field CTO na Akamai, explica esse comportamento: “malwares financeiros são projetados para monitorar o comportamento do usuário e só são ativados quando identificam uma ação sensível, como a abertura de um aplicativo bancário ou até mesmo durante o início de uma transação via Pix.”
Um dos aspectos mais críticos é a atuação em tempo real. O operador pode acompanhar a transação e interferir exatamente no momento da confirmação, alterando dados ou redirecionando valores. “Como o Pix é um método de pagamento instantâneo, o ataque acontece dentro de um tempo muito curto, reduzindo as chances de reversão”, afirma Serto. Ele acrescenta: “Os ataques partem do dispositivo da própria vítima e utilizam credenciais válidas, dentro de um fluxo esperado, reduzindo os sinais de anomalias”.
Apesar da sofisticação, a infecção ainda depende, em grande parte, da ação do usuário, geralmente por meio de engenharia social. “Hoje já é possível uma combinação dos dois modelos, mas a infecção inicial ainda depende muito de engenharia social”, reforça o especialista.
Veja também:
