Um novo tipo de vírus bancário voltado para dispositivos Android tem como alvo usuários brasileiros e utiliza o sistema Pix para desviar dinheiro de forma quase imediata. De acordo com um relatório da Zimperium, o malware, chamado PixRevolution, é capaz de interferir em transferências no exato momento em que elas estão sendo realizadas.

Segundo a Zimperium, o PixRevolution integra uma nova geração de trojans financeiros criados especificamente para explorar o Pix no Brasil. Classificado como um “agent-operated Android trojan”, esse tipo de malware permite que um operador acompanhe e interaja com o dispositivo da vítima em tempo real. A campanha tem como alvo aplicativos de instituições financeiras populares, como Nubank, Itaú Unibanco, Banco do Brasil, Caixa Econômica Federal, Santander Brasil, PicPay, PagSeguro, Sicredi e XP Investimentos.

O ataque combina espionagem com controle ativo do aparelho. Utilizando permissões de acessibilidade do Android, o vírus consegue ler conteúdos exibidos na tela, monitorar interações e até executar comandos automaticamente. Entre as técnicas empregadas estão sobreposição de tela, captura de credenciais, interceptação de notificações e automação dentro dos aplicativos bancários.

A infecção geralmente começa com aplicativos falsos que imitam serviços conhecidos, como Expedia, Correios ou até instituições oficiais, além de outros nomes usados como isca. Esses apps enganam o usuário e facilitam a instalação do malware. Na prática, o vírus não apenas observa, mas também executa ações, podendo preencher dados e confirmar transações sem que a vítima perceba.

Fernando Serto, Field CTO na Akamai, explica esse comportamento: “malwares financeiros são projetados para monitorar o comportamento do usuário e só são ativados quando identificam uma ação sensível, como a abertura de um aplicativo bancário ou até mesmo durante o início de uma transação via Pix.”

Um dos aspectos mais críticos é a atuação em tempo real. O operador pode acompanhar a transação e interferir exatamente no momento da confirmação, alterando dados ou redirecionando valores. “Como o Pix é um método de pagamento instantâneo, o ataque acontece dentro de um tempo muito curto, reduzindo as chances de reversão”, afirma Serto. Ele acrescenta: “Os ataques partem do dispositivo da própria vítima e utilizam credenciais válidas, dentro de um fluxo esperado, reduzindo os sinais de anomalias”.

Apesar da sofisticação, a infecção ainda depende, em grande parte, da ação do usuário, geralmente por meio de engenharia social. “Hoje já é possível uma combinação dos dois modelos, mas a infecção inicial ainda depende muito de engenharia social", reforça o especialista.

A dificuldade de detecção está ligada ao fato de que o golpe ocorre durante ações legítimas. “Por exemplo, o comportamento do usuário hoje está cada vez mais orientado por velocidade e fluidez, que inclusive a nossa pesquisa mostra que são os principais fatores na escolha de um banco. E os ataques se aproveitam justamente dessa dinâmica”, explica.

Mesmo assim, sinais como lentidão, apps desconhecidos, pedidos incomuns de permissões e movimentações financeiras suspeitas podem indicar infecção. Para se proteger, recomenda-se evitar aplicativos fora de lojas oficiais, desconfiar de links e revisar permissões, especialmente as de acessibilidade. Também é essencial manter o celular atualizado e redobrar a atenção durante transações via Pix.