Um novo programa malicioso para Android está roubando dinheiro de brasileiros durante transferências PIX sem que a vítima perceba nada de errado. O PixRevolution, como foi batizado, se instala disfarçado de aplicativos conhecidos, assume o controle do celular e substitui a chave PIX do destinatário no exato momento da transferência, desviando o dinheiro para a conta dos criminosos enquanto exibe uma tela de carregamento falsa.
O que torna esse malware diferente
Pesquisadores da empresa de segurança mobile Zimperium, que identificaram o trojan, detalham que este malware se comporta diferente de outros programas de sua espécie.
smart_display
Nossos vídeos em destaque
A maioria dos trojans bancários, programas maliciosos que visam roubar dados ou dinheiro de contas bancárias, funciona de forma automatizada. Eles detectam quando a vítima abre um aplicativo de banco, exibem uma tela falsa para capturar senhas e tentam operar sozinhos.
O PixRevolution funciona de maneira diferente. Ele exige que um operador, uma pessoa real ou um agente de inteligência artificial, esteja do outro lado da conexão assistindo à tela da vítima ao vivo e decidindo exatamente quando agir.
Isso resolve um problema clássico desse tipo de ataque. Trojans automatizados param de funcionar quando um banco atualiza a interface do seu aplicativo. O PixRevolution não depende de nenhuma interface específica.
O operador lê a tela visualmente, como um ser humano faria, e age no momento certo, independentemente de qual banco é ou como o aplicativo está organizado.
Como a vítima é infectada
A campanha começa com páginas falsas da Google Play Store, a loja oficial de aplicativos do Android, hospedadas em sites controlados pelos criminosos. Essas páginas imitam as listagens reais, com descrições, avaliações e um botão de instalação.
Quando a vítima clica, em vez de ir para a loja oficial, o celular baixa um arquivo APK, o formato de instalação de aplicativos no Android, diretamente de um servidor malicioso.
Os aplicativos falsos se disfarçam de marcas amplamente conhecidas no Brasil. A análise de 14 amostras identificou imitações de Correios, Expedia, AVG Antivírus, XP Investimentos, Sicredi, de serviços locais de coleta de lixo, de exercícios de pilates e até do Superior Tribunal de Justiça.
Quanto mais familiar for a marca, maior a chance de a vítima instalar sem desconfiar.
Alguns desses aplicativos são chamados de droppers, programas cujo único objetivo é instalar outro programa malicioso de forma silenciosa.
O dropper do PixRevolution carrega o trojan principal escondido dentro de si e usa ferramentas nativas do próprio Android para instalá-lo sem que a vítima precise confirmar nada.
A armadilha da acessibilidade
Depois de instalado, o aplicativo exibe uma tela de boas-vindas elaborada, com instruções específicas por fabricante de celular, para Samsung, Xiaomi e Motorola. A tela pede que a vítima ative um serviço de acessibilidade chamado “Revolution.”
Serviços de acessibilidade são recursos legítimos do Android criados para ajudar pessoas com deficiências visuais ou motoras a usarem o celular. Eles permitem que um aplicativo leia o conteúdo da tela, execute toques automaticamente e interaja com outros apps. São ferramentas poderosas e necessárias para muita gente. O PixRevolution as transforma em arma.
A tela falsa ainda exibe a mensagem “Esta permissão é utilizada apenas para habilitar funcionalidades do aplicativo. Nenhuma informação pessoal é coletada.” Isso é completamente mentira. Mas a apresentação é convincente o suficiente para que muitas vítimas sigam as instruções.
Após ativar a permissão, a vítima é redirecionada para o site legítimo do Banco do Brasil, reforçando a ilusão de que tudo está normal. Nos bastidores, o malware acabou de receber acesso total ao dispositivo.
O operador entra em cena
Com a permissão ativada, o PixRevolution estabelece uma conexão com um servidor C2, sigla de Command and Control, que é a central de operações dos criminosos. É de lá que chegam os comandos e para lá que vão as informações capturadas do celular da vítima.
O malware também ativa a captura de tela em tempo real usando uma API nativa do Android chamada MediaProjection. Uma API é um conjunto de ferramentas que o sistema operacional oferece aos desenvolvedores. Aqui, os criminosos a usam para criar uma transmissão ao vivo da tela da vítima, que chega comprimida em tempo real ao operador do outro lado.
O trojan ainda monitora todos os textos que aparecem na tela da vítima e os compara com uma lista de mais de 80 frases em português relacionadas a transações financeiras, como “pix enviado”, “transferência concluída” e “saldo disponível”.
Essas frases ficam escondidas no código em base64, um método de codificação que transforma texto em uma sequência de caracteres aparentemente aleatória para dificultar a detecção por softwares de segurança simples.
Quando uma dessas frases aparece na tela, o malware dispara um alerta com uma captura do momento exato para o servidor dos criminosos.
O golpe em si
Quando a vítima abre um aplicativo bancário e começa a fazer uma transferência PIX, o operador vê tudo acontecer ao vivo. Ele observa a vítima digitar a chave PIX do destinatário verdadeiro e, no momento certo, envia um comando ao malware com a própria chave PIX dos criminosos.
O trojan então executa uma sequência em frações de segundo. Primeiro, exibe uma tela de sobreposição com o “Aguarde…”, que é uma página web armazenada localmente no celular e exibida dentro do aplicativo. Essa tela bloqueia completamente a visão da vítima.
Enquanto o spinner gira na tela, o malware localiza o campo onde a chave PIX foi digitada, apaga o conteúdo e substitui pela chave dos criminosos. Em seguida, simula um toque no botão de confirmação.
Para isso, ele não usa coordenadas fixas de tela. Ele consulta a estrutura da interface do aplicativo bancário em tempo real para encontrar o botão correto, o que torna o ataque funcional em praticamente qualquer celular e qualquer app de banco.
O overlay desaparece. A vítima vê uma tela de “transferência concluída” completamente real, afinal, a transferência de fato ocorreu. O dinheiro foi para a conta errada.
Por que o PIX é o alvo perfeito
O PIX processa mais de 3 bilhões de transações por mês no Brasil, opera 24 horas por dia e liquida pagamentos em segundos. Para os criminosos, essas mesmas características que o tornam conveniente o tornam irresistível como alvo.
Uma transferência PIX é instantânea e irrevogável. Não existe janela de estorno. Não existe período de espera para contestação. A vítima normalmente só descobre o problema muito depois, quando confere o extrato e percebe que o dinheiro foi para uma conta desconhecida. Nesse ponto, a recuperação é difícil.
Como se proteger
A principal defesa contra o PixRevolution começa antes da instalação de qualquer aplicativo. Baixar apps exclusivamente pela Google Play Store oficial, desconfiar de links recebidos por mensagem ou encontrados em sites desconhecidos e nunca ativar serviços de acessibilidade a pedido de um aplicativo são os primeiros passos.
A Zimperium alerta que a detecção desse tipo de ameaça depende de análise comportamental em tempo real, e não de antivírus tradicionais baseados em assinaturas de ameaças conhecidas.
Isso porque o PixRevolution não usa técnicas convencionais de ataque. Ele abusa de permissões que a própria vítima concede voluntariamente e de ferramentas legítimas do sistema operacional, o que o torna invisível para defesas estáticas.
Os pesquisadores alertam ainda que o modelo operacional do PixRevolution tem potencial para se expandir para outros sistemas de pagamento instantâneo ao redor do mundo, como o UPI na Índia e o FedNow nos Estados Unidos.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
