PixRevolution: malware que sequestra transferências PIX no Android

O PIX revolucionou o sistema de pagamentos no Brasil ao permitir transferências instantâneas, disponíveis 24 horas por dia. No entanto, a mesma velocidade e irreversibilidade que tornaram o sistema popular também o transformaram em um alvo extremamente atrativo para cibercriminosos.

Pesquisadores da empresa de segurança mobile Zimperium identificaram recentemente um novo trojan bancário para Android chamado PixRevolution, capaz de sequestrar transferências PIX em tempo real sem que a vítima perceba. O malware atua no momento exato da transação, substituindo a chave PIX do destinatário por outra controlada pelos criminosos.

O resultado é simples e devastador: a transferência acontece normalmente, mas o dinheiro chega à conta errada.

Este artigo analisa como o PixRevolution funciona, quais técnicas avançadas ele utiliza, por que representa um novo estágio na evolução dos trojans bancários e quais medidas organizações e usuários podem adotar para mitigar o risco.

Uma nova geração de trojans bancários

Tradicionalmente, trojans bancários seguem um modelo altamente automatizado. Eles detectam quando um aplicativo bancário é aberto e exibem telas falsas para capturar credenciais ou executar ações fraudulentas.

O PixRevolution rompe com esse modelo.

Em vez de depender exclusivamente de automação, o malware permite que um operador humano (ou possivelmente um agente automatizado assistido por IA) observe a tela da vítima em tempo real e decida quando executar o ataque.

Esse detalhe resolve um problema clássico do cibercrime bancário: a dependência da interface do aplicativo.

Quando bancos atualizam seus aplicativos, trojans automatizados frequentemente deixam de funcionar porque dependem de elementos específicos da interface. No caso do PixRevolution, o operador simplesmente interpreta visualmente a tela, da mesma forma que um usuário faria.

Isso torna o malware muito mais resiliente a mudanças nos aplicativos bancários.

Como ocorre a infecção

O ciclo de ataque começa com uma campanha de engenharia social baseada em páginas falsas da loja oficial de aplicativos Android.

Criminosos criam sites que imitam a interface da Google Play Store, exibindo:

• descrição do aplicativo

• avaliações falsas

• botão de instalação aparentemente legítimo

Quando o usuário clica em instalar, em vez de ser redirecionado para a loja oficial, o dispositivo baixa diretamente um arquivo APK malicioso.

Esse arquivo instala aplicativos falsos que imitam marcas conhecidas para aumentar a confiança da vítima.

Entre as imitações identificadas nas amostras analisadas estão aplicativos que simulam:

• Correios

• Expedia

• AVG Antivírus

• XP Investimentos

• Sichttps://www.sicredi.com.br/home/redi

• serviços municipais

• aplicativos de saúde e exercícios

• até instituições públicas brasileiras

Quanto maior a familiaridade da marca, maior a probabilidade de instalação sem suspeitas.

O papel dos “droppers” na cadeia de infecção

Alguns dos aplicativos falsos funcionam como droppers.

Droppers são programas cujo único objetivo é instalar silenciosamente outro malware no dispositivo.

No caso do PixRevolution, o dropper contém o trojan principal escondido em seu código e utiliza ferramentas nativas do próprio Android para realizar a instalação de forma discreta.

Esse método reduz a chance de detecção e permite que o malware final seja implantado sem que o usuário perceba.

A armadilha da permissão de acessibilidade

Após a instalação, o aplicativo exibe uma tela de boas-vindas cuidadosamente elaborada, com instruções específicas para diferentes fabricantes de smartphones.

O objetivo é convencer a vítima a ativar um serviço de acessibilidade chamado “Revolution”.

Os serviços de acessibilidade são recursos legítimos do Android projetados para auxiliar pessoas com deficiências visuais ou motoras. Eles permitem que aplicativos:

• leiam o conteúdo da tela

• executem toques automaticamente

• interajam com outros aplicativos

Em mãos maliciosas, essas permissões oferecem controle quase total sobre o dispositivo.

O PixRevolution explora exatamente esse ponto. Uma vez concedida a permissão, o malware passa a:

• monitorar a tela

• executar comandos automáticos

• manipular outros aplicativos

Para reforçar a credibilidade, após a ativação da permissão o usuário é redirecionado para o site legítimo do Banco do Brasil, criando a sensação de que nada de anormal aconteceu.

Comunicação com a infraestrutura de comando e controle

Depois de obter as permissões necessárias, o malware estabelece comunicação com um servidor Command and Control (C2).

Esse servidor funciona como a central operacional do ataque. A partir dele, os operadores podem:

• monitorar o dispositivo infectado

• enviar comandos ao malware

• receber dados da vítima

Além disso, o PixRevolution utiliza a API MediaProjection do Android para transmitir a tela do usuário em tempo real.

Isso cria uma espécie de “live streaming” do smartphone da vítima, permitindo que o operador acompanhe todas as ações realizadas no dispositivo.

Monitoramento inteligente de transações financeiras

O malware também monitora constantemente o conteúdo textual exibido na tela.

Mais de 80 expressões relacionadas a transações financeiras foram encontradas no código do trojan, incluindo termos como:

• “pix enviado”

• “transferência concluída”

• “saldo disponível”

Essas expressões estão codificadas em Base64, técnica comum para ocultar strings e dificultar a análise por ferramentas de segurança.

Quando uma dessas frases aparece na tela, o malware envia automaticamente um alerta com uma captura de tela ao servidor C2, sinalizando que uma transação potencial está ocorrendo.

O sequestro da transferência PIX

Quando a vítima inicia uma transferência PIX, o operador do ataque acompanha a tela em tempo real.

Assim que o usuário digita a chave PIX do destinatário legítimo, o operador envia ao malware a chave controlada pelos criminosos.

Nesse momento, o trojan executa uma sequência extremamente rápida de ações:

1. exibe uma tela falsa de carregamento com a mensagem “Aguarde”

2. bloqueia temporariamente a visão do usuário

3. localiza o campo onde a chave PIX foi digitada

4. apaga o conteúdo original

5. substitui pela chave dos criminosos

6. simula o toque no botão de confirmação

Para encontrar os elementos corretos da interface, o malware analisa a estrutura da interface do aplicativo bancário em tempo real, em vez de usar coordenadas fixas.

Isso torna o ataque funcional em praticamente qualquer aplicativo de banco.

Quando o overlay desaparece, a vítima vê uma tela legítima de “transferência concluída”.

De fato, a transferência ocorreu — apenas para o destinatário errado.

Por que o PIX se tornou um alvo estratégico

O sistema PIX processa bilhões de transações mensais e opera continuamente.

Essas características trazem vantagens operacionais para usuários e empresas, mas também criam oportunidades para ataques:

• liquidação instantânea

• operação 24/7

• ausência de janelas de cancelamento

Quando a vítima percebe o erro, normalmente o dinheiro já foi movimentado por diversas contas intermediárias.

Isso dificulta significativamente a recuperação dos valores.

Detecção e desafios para as soluções de segurança

Segundo os pesquisadores da Zimperium, o PixRevolution representa um desafio importante para ferramentas tradicionais de segurança.

Antivírus baseados em assinatura tendem a falhar porque o malware:

• utiliza APIs legítimas do sistema

• depende de permissões concedidas pelo próprio usuário

• executa ações que imitam comportamento humano

Por isso, a detecção desse tipo de ameaça depende cada vez mais de análise comportamental em tempo real e monitoramento de atividade suspeita no dispositivo.

Possível expansão para outros sistemas de pagamento

O modelo operacional utilizado pelo PixRevolution pode ser adaptado facilmente para outros sistemas de pagamento instantâneo ao redor do mundo.

Entre os potenciais alvos estão:

• UPI

• FedNow

À medida que pagamentos em tempo real se tornam mais comuns globalmente, a tendência é que ataques desse tipo também se expandam.

Recomendações de proteção

A principal linha de defesa contra esse tipo de ataque continua sendo a prevenção.

Entre as medidas mais importantes estão:

Instalação segura de aplicativos

• baixar aplicativos apenas da loja oficial do Android

• evitar APKs instalados a partir de links externos

Gerenciamento de permissões

• nunca conceder permissões de acessibilidade a aplicativos desconhecidos

Educação e awareness

• desconfiar de aplicativos que imitam marcas conhecidas

• verificar sempre o destinatário antes de confirmar uma transferência

Proteção corporativa

• implementar soluções de Mobile Threat Defense

• monitorar comportamentos anômalos em dispositivos corporativos

   

O PixRevolution demonstra como o cibercrime está evoluindo para modelos cada vez mais sofisticados e adaptáveis.

Ao combinar engenharia social, abuso de permissões legítimas do sistema e supervisão humana em tempo real, os criminosos criaram um malware capaz de contornar muitas das defesas tradicionais.

Para organizações e usuários, o caso reforça uma realidade cada vez mais clara: segurança digital não depende apenas de tecnologia, mas também de comportamento e conscientização.

À medida que sistemas de pagamento instantâneo se tornam predominantes, a capacidade de detectar e responder rapidamente a novas técnicas de fraude será um fator crítico para reduzir riscos financeiros e operacionais.