Siga o Olhar Digital no Google Discover
Um novo malware para Android, identificado por pesquisadores da equipe zLabs, está explorando o sistema de pagamentos instantâneos Pix para desviar transferências em tempo real no Brasil. Chamado de PixRevolution, o trojan bancário monitora a tela do smartphone da vítima e intervém no momento exato em que uma transferência é realizada.
Segundo a análise, o ataque acontece quando o usuário confirma uma operação. Embora a interface mostre que o envio foi concluído normalmente, o valor pode ser redirecionado para uma conta controlada por criminosos. O golpe se aproveita da popularidade do Pix, criado pelo Banco Central do Brasil em 2020, que já é utilizado por mais de 76% da população e processa mais de 3 bilhões de transações por mês.
Como funciona o malware PixRevolution
O PixRevolution permanece oculto no dispositivo até que o usuário inicie uma transferência via Pix. Quando o valor e a chave do destinatário são inseridos e a operação é confirmada, um indicador de carregamento com a mensagem “Aguarde…” aparece na tela.
Nesse momento, o malware pode substituir a chave Pix digitada pelo usuário por outra controlada pelos criminosos. A confirmação da transferência é simulada normalmente, dando a impressão de que o dinheiro foi enviado ao destinatário correto.
O diferencial desse trojan é a presença de um operador humano ou agente automatizado que acompanha a tela da vítima em tempo quase real. Esse operador decide exatamente quando agir, interceptando a transação no instante em que ela ocorre.
Distribuição usa aplicativos falsos
A campanha utiliza páginas falsas que imitam a Google Play Store para enganar usuários. Essas páginas reproduzem a aparência da loja oficial, com descrições, avaliações e botão de instalação.
Ao clicar em “Instalar”, porém, o usuário baixa um arquivo APK malicioso hospedado em domínios controlados pelos atacantes. A análise identificou campanhas que se passam por aplicativos conhecidos no Brasil.
Entre os exemplos observados estão apps que imitam Expedia, Correios, XP Investimentos, Sicredi e AVG Antivirus, além de referências ao Superior Tribunal de Justiça (STJ) e a serviços locais.
Algumas dessas aplicações funcionam como “droppers”, cujo objetivo é instalar silenciosamente o trojan principal no aparelho.
Engenharia social e permissões perigosas
Após a instalação, o aplicativo exibe uma tela de configuração que pede ao usuário para ativar um serviço de acessibilidade chamado “Revolution”.
O texto afirma que a permissão é necessária apenas para habilitar recursos do aplicativo e garante que “nenhuma informação pessoal é coletada”. A apresentação inclui instruções específicas para aparelhos de fabricantes como Samsung, Xiaomi e Motorola, o que aumenta a credibilidade do processo.
Na prática, essa permissão dá ao malware acesso amplo ao dispositivo. Ele passa a poder ler textos exibidos na tela, realizar toques e gestos e acompanhar atividades em qualquer aplicativo, incluindo apps bancários.
Monitoramento em tempo real da tela
Depois de ativado, o PixRevolution estabelece conexão permanente com um servidor de comando e controle (C2), usando uma ligação TCP na porta 9000 e um endpoint HTTP adicional na porta 3030.
O malware também ativa a captura de tela usando a API MediaProjection do Android, criando um espelhamento da tela do aparelho. Cada frame é capturado, comprimido e enviado ao servidor.
Com isso, o operador remoto consegue acompanhar exatamente o que o usuário vê no celular e aguarda até identificar sinais de uma transação financeira.
Detecção de transferências e interceptação
O trojan contém mais de 80 frases em português relacionadas a operações financeiras, como “pix enviado”, “transferência concluída” e “pagamento confirmado”.
Quando detecta esses termos na tela, o malware envia um alerta ao servidor com o texto exibido e, em alguns casos, uma captura da tela.
Se o operador identifica que uma transferência Pix está em andamento, ele envia um comando para substituir a chave digitada pela vítima. O malware então executa automaticamente a alteração, confirma o pagamento e remove a tela de carregamento.
Todo o processo acontece em poucos segundos, sem sinais visíveis para o usuário.
Ataque pode atingir qualquer banco
De acordo com os pesquisadores, o PixRevolution não depende de uma lista fixa de aplicativos bancários. Como o malware monitora todas as telas do dispositivo, ele pode funcionar com qualquer app que utilize Pix.
O código também inclui logotipos de 10 instituições financeiras brasileiras, entre elas Nubank, Itaú Unibanco, Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos.
Esses elementos são usados para personalizar telas falsas e tornar a interface mais convincente durante o ataque.
Por que o Pix é alvo dos criminosos
A estrutura do Pix é um fator central para o sucesso desse tipo de fraude. As transferências são instantâneas, funcionam 24 horas por dia e não podem ser revertidas após a conclusão.
Com mais de 150 milhões de usuários cadastrados, mesmo uma taxa pequena de sucesso pode resultar em prejuízos financeiros significativos.
Os pesquisadores apontam que a infraestrutura usada na campanha indica uma operação organizada, com domínios dedicados, múltiplas etapas de instalação do malware e sistemas de monitoramento em tempo real.
