O sistema de pagamentos instantâneos mais popular do Brasil está sob ataque. Especialistas da zLabs identificaram uma campanha hacker que usa um trojan chamado PixRevolution para realizar transferências criminosas em tempo real, desviando o dinheiro das vítimas para contas fraudulentas.
O que torna essa ameaça ainda mais perigosa é o modo como ela opera. Diferente de ataques bancários tradicionais, os criminosos monitoram o dispositivo da vítima de forma remota e em tempo real, aguardando o momento exato da transação para agir. Essa abordagem furtiva aumenta significativamente as chances de sucesso do golpe.
Como o malware infecta o dispositivo
Segundo os pesquisadores, a campanha utiliza um ataque em camadas. Tudo começa quando a vítima acessa páginas falsas que imitam a interface da Google Play Store. Essas páginas falsas passam uma sensação de credibilidade, levando o usuário a clicar no botão “Instalar”, acreditando estar baixando um aplicativo legítimo.
No entanto, o que é instalado é um APK malicioso. Entre os aplicativos corrompidos estão versões falsas de serviços conhecidos, como os Correios, antivírus, espaços de pilates e até mesmo do Superior Tribunal de Justiça. Esses aplicativos espalham um dropper cujo objetivo é instalar o trojan no sistema.
O malware já vem preparado para atacar grandes instituições financeiras, incluindo Nubank, Itaú, Banco do Brasil, Santander, Caixa Econômica Federal, PicPay e PagSeguro, facilitando o processo de roubo.
Operação em segundo plano
Após a infecção, o aplicativo solicita que o usuário habilite um serviço de acessibilidade chamado “Revolution”. Para ganhar confiança, a plataforma exibe um aviso de segurança, afirmando que nenhuma informação pessoal será coletada.
Porém, ao conceder essa permissão, a vítima entrega o controle total do dispositivo aos criminosos. Eles passam a ter acesso a notificações de todos os aplicativos, inclusive os bancários, e podem capturar a tela em tempo real, vendo exatamente o que a pessoa está fazendo.
Para identificar transações financeiras, o malware possui uma lista com mais de 80 frases em português relacionadas ao universo financeiro. Assim que a vítima começa a digitar a chave Pix para fazer uma transferência, o software malicioso entra em ação.
Para não levantar suspeitas, o malware exibe uma tela com a mensagem “Aguarde”, bloqueando a visão da vítima durante a transação. Enquanto isso, o campo de texto onde a chave Pix era digitada é silenciosamente substituído pela chave da conta criminosa.
Com isso, o destinatário legítimo nunca recebe o valor enviado, que é desviado diretamente para os agentes maliciosos. A vítima, por sua vez, apenas vê uma confirmação de “transferência concluída”, acreditando que a operação foi realizada com sucesso.
Como se proteger
- Baixe aplicativos apenas de fontes oficiais, como a Google Play Store.
- Evite clicar em links suspeitos recebidos por SMS, e-mail ou redes sociais.
- Mantenha o sistema operacional e os aplicativos sempre atualizados.
- Fique atento a solicitações de permissões incomuns, especialmente de acessibilidade.
- Use soluções de segurança confiáveis em seu dispositivo.
Ficar atento a esses detalhes pode fazer toda a diferença para evitar cair nesse tipo de golpe e manter suas finanças protegidas.