Novo trojan do Android intercepta pagamentos Pix no Brasil
Malware PixRevolution monitora a tela do celular e intercepta transferências Pix em tempo real, trocando a chave sem que o usuário perceba
Um novo malware para Android, identificado pela equipe de pesquisa zLabs, está mirando o sistema de pagamentos instantâneos Pix para desviar transferências no Brasil. Chamado de PixRevolution, o trojan permanece oculto no dispositivo e só se revela quando o usuário inicia uma transferência. A análise aponta que, embora a interface mostre que o envio foi concluído, o dinheiro pode acabar indo para uma conta controlada por criminosos. O golpe se ancora na popularidade do Pix, criado pelo Banco Central em 2020, que já é utilizado por mais de 76% da população e processa bilhões de transações mensalmente.
Na prática, o funcionamento do PixRevolution é brutalmente direto. Ele fica adormecido até o momento de uma transferência via Pix. Ao inserir o valor e a chave do destinatário e confirmar a operação, aparece um indicador de carregamento com a mensagem Aguarde… na tela. Nesse instante, o malware pode substituir a chave Pix digitada pela vítima por outra controlada pelos criminosos. A confirmação da transferência é simulada, criando a impressão de que o dinheiro foi enviado ao destinatário correto.
O diferencial dessa ameaça é a presença de um operador — humano ou automatizado — que acompanha a tela da vítima em tempo quase real. Esse operador decide exatamente quando agir, interceptando a transação no instante em que ela ocorre e vendando a aparência de normalidade.
Para ampliar o alcance, o PixRevolution recorre de forma estratégica a páginas falsas que imitam a Google Play Store, com aparência idêntica à loja oficial, descrições, avaliações e botão de instalação. Ao clicar em “Instalar”, o usuário baixa um APK malicioso hospedado em domínios sob controle dos atacantes. A campanha já foi observada simulando aplicações conhecidas no Brasil, incluindo Expedia, Correios, XP Investimentos, Sicredi e AVG Antivirus, com referências até ao Superior Tribunal de Justiça (STJ) e serviços locais.
Essas apps podem funcionar como “droppers”, ou seja, servem para instalar silenciosamente o trojan principal no aparelho. E, para ganhar credibilidade, vale-se de engenharia social e permissões “perigosas”: após a instalação, o app apresenta uma tela de configuração pedindo a ativação de um serviço de acessibilidade denominado Revolution. O texto alega que a permissão é necessária apenas para habilitar recursos e garante que nenhuma informação pessoal é coletada. Além disso, há instruções específicas para aparelhos de fabricantes como Samsung, Xiaomi e Motorola, o que confere ainda mais aspecto de confiabilidade ao golpe.
No dia a dia, essa permissão concede ao malware um acesso amplo ao dispositivo. Ele passa a poder ler textos na tela, realizar toques e gestos e acompanhar atividades em qualquer aplicativo, incluindo apps bancários. A partir daí, o PixRevolution estabelece uma conexão permanente com um servidor de comando e controle (C2), usando uma ligação TCP na porta 9000 e um endpoint HTTP na porta 3030. Além disso, o malware ativa a captura de tela por meio da API MediaProjection do Android, criando um espelhamento contínuo da tela do dispositivo. Cada frame é comprimido e enviado ao servidor, permitindo que o operador monitore o que o usuário vê em tempo real e aguarde o momento certo para agir.
Quando o tema envolve números, o PixRevolution não brinca: o trojan embute mais de 80 frases em português relacionadas a operações financeiras, como “pix enviado”, “transferência concluída” e “pagamento confirmado”. Ao detectar esses termos na tela, o malware envia alertas para o servidor com o texto exibido e, em alguns casos, uma captura da tela. Se o operador identifica que há uma transferência Pix em andamento, ele envia uma ordem para substituir a chave digitada pela vítima. Em poucos segundos, o trojan executa a troca, confirma o pagamento e remove a tela de carregamento — tudo sem sinais óbvios para o usuário.
O ataque pode alcançar qualquer banco. Segundo os pesquisadores, o PixRevolution não depende de uma lista fixa de apps bancários: como monitora todas as telas, ele pode atuar com qualquer aplicativo que utilize Pix. O código do trojan ainda traz logotipos de 10 instituições financeiras brasileiras, entre elas Nubank, Itaú Unibanco, Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos. Esses elementos são usados para personalizar telas falsas e tornar a interface ainda mais convincente durante o ataque.
Mas por que o Pix é tão atraente para criminosos? A chave está na própria infraestrutura do Pix: transferências instantâneas, disponíveis 24 horas por dia e, uma vez concluídas, não podem ser revertidas. Com mais de 150 milhões de usuários cadastrados, mesmo uma taxa de sucesso muito pequena pode gerar prejuízos significativos. Os pesquisadores apontam que a infraestrutura observada na campanha aponta para uma operação bem organizada, com domínios dedicados, várias etapas de instalação do malware e sistemas de monitoramento em tempo real.
