Um novo malware voltado para usuários de Android está sendo utilizado para desviar dinheiro de transferências PIX no Brasil. Batizado de PixRevolution, o programa malicioso se disfarça de aplicativos populares, assume o controle do celular da vítima e altera a chave PIX do destinatário no momento exato da transação, enviando o dinheiro para contas controladas por criminosos.
A ameaça foi identificada por pesquisadores da empresa de segurança móvel Zimperium, que alertam para o alto nível de sofisticação do ataque.
O que diferencia o PixRevolution
Diferente de trojans bancários tradicionais, o PixRevolution não funciona totalmente de forma automática. Em vez disso, ele depende da atuação de um operador humano, ou até de um sistema automatizado com inteligência artificial, que acompanha em tempo real o que acontece na tela da vítima.
Esse modelo resolve um problema comum enfrentado por malwares bancários: quando aplicativos de bancos atualizam suas interfaces, ataques automatizados costumam parar de funcionar. No caso do PixRevolution, o operador simplesmente observa a tela e decide manualmente quando executar o golpe, independentemente do banco ou do layout do aplicativo.
Como a infecção acontece
A campanha começa com páginas falsas que imitam a interface da Google Play Store, a loja oficial de aplicativos do sistema Android.
Essas páginas são hospedadas em sites controlados pelos criminosos e reproduzem com fidelidade a aparência de aplicativos reais, incluindo descrições, avaliações e botões de instalação. Quando a vítima tenta baixar o aplicativo, o celular recebe na verdade um arquivo APK, formato utilizado para instalar apps manualmente no Android.
Os aplicativos falsos se passam por marcas conhecidas no Brasil. Entre as amostras analisadas pelos pesquisadores estavam imitações de serviços como Correios, XP Investimentos, Sicredi, além de apps de antivírus, viagens e até instituições públicas como o Superior Tribunal de Justiça.
Alguns desses aplicativos funcionam como droppers, programas cujo único objetivo é instalar silenciosamente o malware principal no dispositivo.
A armadilha das permissões de acessibilidade
Depois da instalação, o aplicativo apresenta uma tela de boas-vindas elaborada com instruções específicas para diferentes fabricantes de celular, como Samsung, Xiaomi e Motorola. O objetivo é convencer o usuário a ativar um serviço de acessibilidade chamado “Revolution”.
Os serviços de acessibilidade são recursos legítimos do Android criados para ajudar pessoas com deficiências visuais ou motoras a utilizarem o aparelho. Eles permitem que aplicativos leiam o conteúdo da tela, simulem toques e interajam com outros programas.
No caso do PixRevolution, essa permissão concede controle praticamente total sobre o dispositivo.
A tela ainda afirma que a permissão é necessária apenas para habilitar funcionalidades do aplicativo e que nenhum dado pessoal será coletado. Na prática, essa afirmação é falsa.
Após conceder a permissão, o usuário é redirecionado para o site oficial do Banco do Brasil, o que ajuda a reforçar a impressão de que tudo está funcionando normalmente.
Conexão com os criminosos
Com acesso ao sistema garantido, o malware estabelece comunicação com um servidor de comando e controle, conhecido como C2 (Command and Control). É por meio dele que os atacantes enviam instruções e recebem dados capturados do dispositivo.
O PixRevolution também ativa a captura de tela em tempo real utilizando a API MediaProjection, um recurso legítimo do Android que permite gravar ou transmitir a tela do dispositivo.
Com isso, os criminosos passam a visualizar tudo o que acontece no celular da vítima praticamente ao vivo.
O malware ainda monitora textos exibidos na tela e compara essas informações com uma lista de mais de 80 expressões relacionadas a transações financeiras, como “PIX enviado”, “transferência concluída” e “saldo disponível”. Essas frases ficam escondidas no código usando codificação Base64 para dificultar a identificação por ferramentas de segurança.
Quando uma dessas expressões aparece, o sistema envia automaticamente um alerta para os operadores do ataque.
O momento do golpe
Quando a vítima abre o aplicativo bancário e inicia uma transferência PIX, o operador acompanha todo o processo em tempo real.
Assim que a vítima digita a chave PIX do destinatário legítimo, o criminoso envia um comando para o malware substituir essa chave pela chave pertencente aos golpistas.
Para impedir que o usuário perceba a manipulação, o PixRevolution exibe uma tela de carregamento com a mensagem “Aguarde…”, que bloqueia temporariamente a visualização da interface.
Enquanto a tela falsa está ativa, o malware localiza o campo onde a chave PIX foi digitada, apaga o conteúdo e insere a chave dos criminosos. Em seguida, simula o toque no botão de confirmação da transferência.
O processo acontece em frações de segundo.
Quando a tela de carregamento desaparece, a vítima vê uma confirmação real de transferência concluída. O pagamento de fato ocorreu — mas o dinheiro foi enviado para a conta errada.
Por que o PIX virou alvo
O sistema PIX processa bilhões de transações todos os meses no Brasil, funciona 24 horas por dia e liquida pagamentos em poucos segundos.
Essas mesmas características que tornaram o sistema extremamente popular também o transformaram em um alvo atraente para criminosos. Como as transferências são instantâneas e irreversíveis, muitas vítimas só percebem o golpe ao verificar o extrato posteriormente.
Nesse momento, recuperar o dinheiro pode ser extremamente difícil.
Como se proteger
Especialistas recomendam algumas medidas básicas para reduzir o risco de infecção:
- baixar aplicativos apenas pela loja oficial do Android;
- evitar instalar arquivos APK obtidos em links externos;
- desconfiar de páginas que imitam lojas de aplicativos;
- nunca conceder permissões de acessibilidade solicitadas por aplicativos desconhecidos.
Segundo a Zimperium, ameaças como o PixRevolution são difíceis de detectar por antivírus tradicionais, pois utilizam recursos legítimos do sistema operacional e dependem de permissões concedidas pelo próprio usuário.
Os pesquisadores alertam ainda que esse modelo de ataque pode ser adaptado para outros sistemas de pagamento instantâneo ao redor do mundo, como o UPI, na Índia, e o FedNow, nos Estados Unidos.
