{"id":122,"date":"2026-03-12T21:50:15","date_gmt":"2026-03-13T00:50:15","guid":{"rendered":"https:\/\/tecmania.com.br\/?p=122"},"modified":"2026-03-12T21:50:15","modified_gmt":"2026-03-13T00:50:15","slug":"malware-pixrevolution-sequestra-transferencias-pix-android","status":"publish","type":"post","link":"https:\/\/tecmania.com.br\/blog\/malware-pixrevolution-sequestra-transferencias-pix-android\/","title":{"rendered":"PixRevolution: malware sequestra transfer\u00eancias PIX em celulares Android"},"content":{"rendered":"\n

Um novo malware voltado para usu\u00e1rios de Android est\u00e1 sendo utilizado para desviar dinheiro de transfer\u00eancias PIX no Brasil. Batizado de PixRevolution<\/strong>, o programa malicioso se disfar\u00e7a de aplicativos populares, assume o controle do celular da v\u00edtima e altera a chave PIX do destinat\u00e1rio no momento exato da transa\u00e7\u00e3o, enviando o dinheiro para contas controladas por criminosos.<\/p>\n\n\n\n

A amea\u00e7a foi identificada por pesquisadores da empresa de seguran\u00e7a m\u00f3vel Zimperium, que alertam para o alto n\u00edvel de sofistica\u00e7\u00e3o do ataque.<\/p>\n\n\n\n

O que diferencia o PixRevolution<\/h2>\n\n\n\n

Diferente de trojans banc\u00e1rios tradicionais, o PixRevolution n\u00e3o funciona totalmente de forma autom\u00e1tica. Em vez disso, ele depende da atua\u00e7\u00e3o de um operador humano, ou at\u00e9 de um sistema automatizado com intelig\u00eancia artificial, que acompanha em tempo real o que acontece na tela da v\u00edtima.<\/p>\n\n\n\n

Esse modelo resolve um problema comum enfrentado por malwares banc\u00e1rios: quando aplicativos de bancos atualizam suas interfaces, ataques automatizados costumam parar de funcionar. No caso do PixRevolution, o operador simplesmente observa a tela e decide manualmente quando executar o golpe, independentemente do banco ou do layout do aplicativo.<\/p>\n\n\n\n

Como a infec\u00e7\u00e3o acontece<\/h2>\n\n\n\n

A campanha come\u00e7a com p\u00e1ginas falsas que imitam a interface da Google Play Store, a loja oficial de aplicativos do sistema Android.<\/p>\n\n\n\n

Essas p\u00e1ginas s\u00e3o hospedadas em sites controlados pelos criminosos e reproduzem com fidelidade a apar\u00eancia de aplicativos reais, incluindo descri\u00e7\u00f5es, avalia\u00e7\u00f5es e bot\u00f5es de instala\u00e7\u00e3o. Quando a v\u00edtima tenta baixar o aplicativo, o celular recebe na verdade um arquivo APK<\/strong>, formato utilizado para instalar apps manualmente no Android.<\/p>\n\n\n\n

Os aplicativos falsos se passam por marcas conhecidas no Brasil. Entre as amostras analisadas pelos pesquisadores estavam imita\u00e7\u00f5es de servi\u00e7os como Correios, XP Investimentos, Sicredi, al\u00e9m de apps de antiv\u00edrus, viagens e at\u00e9 institui\u00e7\u00f5es p\u00fablicas como o Superior Tribunal de Justi\u00e7a.<\/p>\n\n\n\n

Alguns desses aplicativos funcionam como droppers<\/strong>, programas cujo \u00fanico objetivo \u00e9 instalar silenciosamente o malware principal no dispositivo.<\/p>\n\n\n\n

A armadilha das permiss\u00f5es de acessibilidade<\/h2>\n\n\n\n

Depois da instala\u00e7\u00e3o, o aplicativo apresenta uma tela de boas-vindas elaborada com instru\u00e7\u00f5es espec\u00edficas para diferentes fabricantes de celular, como Samsung, Xiaomi e Motorola. O objetivo \u00e9 convencer o usu\u00e1rio a ativar um servi\u00e7o de acessibilidade chamado \u201cRevolution\u201d<\/strong>.<\/p>\n\n\n\n

Os servi\u00e7os de acessibilidade s\u00e3o recursos leg\u00edtimos do Android criados para ajudar pessoas com defici\u00eancias visuais ou motoras a utilizarem o aparelho. Eles permitem que aplicativos leiam o conte\u00fado da tela, simulem toques e interajam com outros programas.<\/p>\n\n\n\n

No caso do PixRevolution, essa permiss\u00e3o concede controle praticamente total sobre o dispositivo<\/strong>.<\/p>\n\n\n\n

A tela ainda afirma que a permiss\u00e3o \u00e9 necess\u00e1ria apenas para habilitar funcionalidades do aplicativo e que nenhum dado pessoal ser\u00e1 coletado. Na pr\u00e1tica, essa afirma\u00e7\u00e3o \u00e9 falsa.<\/p>\n\n\n\n

Ap\u00f3s conceder a permiss\u00e3o, o usu\u00e1rio \u00e9 redirecionado para o site oficial do Banco do Brasil, o que ajuda a refor\u00e7ar a impress\u00e3o de que tudo est\u00e1 funcionando normalmente.<\/p>\n\n\n\n

Conex\u00e3o com os criminosos<\/h2>\n\n\n\n

Com acesso ao sistema garantido, o malware estabelece comunica\u00e7\u00e3o com um servidor de comando e controle, conhecido como C2 (Command and Control)<\/strong>. \u00c9 por meio dele que os atacantes enviam instru\u00e7\u00f5es e recebem dados capturados do dispositivo.<\/p>\n\n\n\n

O PixRevolution tamb\u00e9m ativa a captura de tela em tempo real utilizando a API MediaProjection<\/strong>, um recurso leg\u00edtimo do Android que permite gravar ou transmitir a tela do dispositivo.<\/p>\n\n\n\n

Com isso, os criminosos passam a visualizar tudo o que acontece no celular da v\u00edtima praticamente ao vivo.<\/p>\n\n\n\n

O malware ainda monitora textos exibidos na tela e compara essas informa\u00e7\u00f5es com uma lista de mais de 80 express\u00f5es relacionadas a transa\u00e7\u00f5es financeiras<\/strong>, como \u201cPIX enviado\u201d, \u201ctransfer\u00eancia conclu\u00edda\u201d e \u201csaldo dispon\u00edvel\u201d. Essas frases ficam escondidas no c\u00f3digo usando codifica\u00e7\u00e3o Base64 para dificultar a identifica\u00e7\u00e3o por ferramentas de seguran\u00e7a.<\/p>\n\n\n\n

Quando uma dessas express\u00f5es aparece, o sistema envia automaticamente um alerta para os operadores do ataque.<\/p>\n\n\n\n

O momento do golpe<\/h2>\n\n\n\n

Quando a v\u00edtima abre o aplicativo banc\u00e1rio e inicia uma transfer\u00eancia PIX, o operador acompanha todo o processo em tempo real.<\/p>\n\n\n\n

Assim que a v\u00edtima digita a chave PIX do destinat\u00e1rio leg\u00edtimo, o criminoso envia um comando para o malware substituir essa chave pela chave pertencente aos golpistas.<\/p>\n\n\n\n

Para impedir que o usu\u00e1rio perceba a manipula\u00e7\u00e3o, o PixRevolution exibe uma tela de carregamento com a mensagem \u201cAguarde\u2026\u201d<\/strong>, que bloqueia temporariamente a visualiza\u00e7\u00e3o da interface.<\/p>\n\n\n\n

Enquanto a tela falsa est\u00e1 ativa, o malware localiza o campo onde a chave PIX foi digitada, apaga o conte\u00fado e insere a chave dos criminosos. Em seguida, simula o toque no bot\u00e3o de confirma\u00e7\u00e3o da transfer\u00eancia.<\/p>\n\n\n\n

O processo acontece em fra\u00e7\u00f5es de segundo.<\/p>\n\n\n\n

Quando a tela de carregamento desaparece, a v\u00edtima v\u00ea uma confirma\u00e7\u00e3o real de transfer\u00eancia conclu\u00edda. O pagamento de fato ocorreu \u2014 mas o dinheiro foi enviado para a conta errada.<\/p>\n\n\n\n

Por que o PIX virou alvo<\/h2>\n\n\n\n

O sistema PIX processa bilh\u00f5es de transa\u00e7\u00f5es todos os meses no Brasil, funciona 24 horas por dia e liquida pagamentos em poucos segundos.<\/p>\n\n\n\n

Essas mesmas caracter\u00edsticas que tornaram o sistema extremamente popular tamb\u00e9m o transformaram em um alvo atraente para criminosos. Como as transfer\u00eancias s\u00e3o instant\u00e2neas e irrevers\u00edveis, muitas v\u00edtimas s\u00f3 percebem o golpe ao verificar o extrato posteriormente.<\/p>\n\n\n\n

Nesse momento, recuperar o dinheiro pode ser extremamente dif\u00edcil.<\/p>\n\n\n\n

Como se proteger<\/h2>\n\n\n\n

Especialistas recomendam algumas medidas b\u00e1sicas para reduzir o risco de infec\u00e7\u00e3o:<\/p>\n\n\n\n

    \n
  • baixar aplicativos apenas pela loja oficial do Android;<\/li>\n\n\n\n
  • evitar instalar arquivos APK obtidos em links externos;<\/li>\n\n\n\n
  • desconfiar de p\u00e1ginas que imitam lojas de aplicativos;<\/li>\n\n\n\n
  • nunca conceder permiss\u00f5es de acessibilidade solicitadas por aplicativos desconhecidos.<\/li>\n<\/ul>\n\n\n\n

    Segundo a Zimperium, amea\u00e7as como o PixRevolution s\u00e3o dif\u00edceis de detectar por antiv\u00edrus tradicionais, pois utilizam recursos leg\u00edtimos do sistema operacional e dependem de permiss\u00f5es concedidas pelo pr\u00f3prio usu\u00e1rio.<\/p>\n\n\n\n

    Os pesquisadores alertam ainda que esse modelo de ataque pode ser adaptado para outros sistemas de pagamento instant\u00e2neo ao redor do mundo, como o UPI<\/strong>, na \u00cdndia, e o FedNow<\/strong>, nos Estados Unidos.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Um novo malware voltado para usu\u00e1rios de Android est\u00e1 sendo utilizado para desviar dinheiro de transfer\u00eancias PIX no Brasil. Batizado […]<\/p>\n","protected":false},"author":1,"featured_media":123,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-122","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=122"}],"version-history":[{"count":1,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/122\/revisions"}],"predecessor-version":[{"id":124,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/122\/revisions\/124"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media\/123"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}