Um novo malware direcionado a dispositivos com Android está sendo usado para roubar dinheiro de brasileiros durante transferências via Pix. Chamado de PixRevolution, o programa malicioso se instala no celular disfarçado de aplicativos populares e assume o controle do aparelho para alterar a chave PIX do destinatário no momento exato da transação.
Na prática, o usuário acredita que está transferindo dinheiro para a pessoa correta, mas o valor acaba sendo enviado para a conta dos criminosos. Durante o ataque, o malware exibe uma tela de carregamento falsa, impedindo que a vítima perceba a alteração.
Um trojan diferente do padrão
O PixRevolution foi identificado por pesquisadores da empresa de segurança móvel Zimperium, que destacam uma diferença importante em relação a outros trojans bancários.
Normalmente, malwares financeiros operam de forma automatizada. Eles detectam quando um aplicativo bancário é aberto e exibem telas falsas para capturar credenciais.
O PixRevolution segue outro modelo. Ele depende de um operador humano ou assistido por inteligência artificial acompanhando a tela da vítima em tempo real e decidindo exatamente quando executar o golpe.
Essa abordagem resolve um problema comum dos trojans tradicionais: quando bancos atualizam o layout de seus aplicativos, ataques automatizados costumam parar de funcionar. Como o PixRevolution é operado visualmente, ele não depende de uma interface específica e pode funcionar com praticamente qualquer aplicativo bancário.
Como ocorre a infecção
O ataque começa com páginas falsas da Google Play Store, criadas para imitar a loja oficial de aplicativos.
Esses sites exibem páginas que parecem legítimas, com descrições, avaliações e botões de instalação. No entanto, ao clicar para baixar o aplicativo, a vítima instala um arquivo APK diretamente de um servidor controlado pelos criminosos.
As amostras analisadas pelos pesquisadores imitavam aplicativos de marcas conhecidas no Brasil, como:
- Correios
- Expedia
- AVG AntiVirus
- XP Investimentos
- Sicredi
- Superior Tribunal de Justiça
Alguns desses aplicativos atuam como droppers, programas cuja única função é instalar o malware principal de forma silenciosa no dispositivo.
A armadilha das permissões de acessibilidade
Depois de instalado, o aplicativo falso exibe uma tela de boas-vindas elaborada com instruções específicas para diferentes fabricantes de celular, como Samsung, Xiaomi e Motorola.
Nessa etapa, o usuário é induzido a ativar um serviço de acessibilidade chamado “Revolution”.
Os serviços de acessibilidade são recursos legítimos do Android criados para ajudar pessoas com deficiência visual ou motora. Eles permitem que aplicativos leiam o conteúdo da tela, executem comandos automáticos e interajam com outros aplicativos.
No caso do PixRevolution, essa funcionalidade é explorada para conceder controle total do aparelho aos criminosos.
Para aumentar a confiança da vítima, o aplicativo exibe a mensagem de que a permissão é usada apenas para habilitar funções do aplicativo e que nenhuma informação pessoal será coletada. Após a ativação, o usuário é redirecionado para o site legítimo do Banco do Brasil, reforçando a impressão de normalidade.
Monitoramento em tempo real
Com as permissões ativadas, o malware estabelece comunicação com um servidor de Command and Control (C2) — a infraestrutura usada pelos criminosos para enviar comandos e receber dados dos dispositivos infectados.
O PixRevolution também inicia a captura da tela do celular em tempo real utilizando a API MediaProjection, uma ferramenta legítima do Android que permite gravar ou transmitir a tela do dispositivo.
Além disso, o malware monitora textos exibidos na tela e os compara com uma lista de mais de 80 frases relacionadas a operações financeiras, como “pix enviado”, “transferência concluída” ou “saldo disponível”.
Quando uma dessas frases aparece, o sistema envia um alerta e uma captura de tela para os operadores do ataque.
Como o dinheiro é desviado
Quando a vítima inicia uma transferência PIX em seu aplicativo bancário, o operador do outro lado acompanha tudo ao vivo.
No momento em que o usuário digita a chave PIX do destinatário verdadeiro, o criminoso envia um comando ao malware com uma chave controlada por ele.
Em frações de segundo, o trojan executa três ações:
- Exibe uma tela de sobreposição com a mensagem “Aguarde…”, bloqueando a visão da vítima.
- Localiza o campo onde a chave PIX foi digitada.
- Apaga o valor original e substitui pela chave dos criminosos.
Em seguida, o malware simula o toque no botão de confirmação da transferência.
Para funcionar em diferentes aplicativos, o sistema não depende de coordenadas fixas na tela. Em vez disso, ele analisa a estrutura da interface do aplicativo bancário em tempo real para identificar o botão correto.
Quando a tela falsa desaparece, a vítima vê uma mensagem legítima de “transferência concluída” — e o dinheiro já foi enviado para outra conta.
Por que o PIX virou alvo
O Pix, criado pelo Banco Central do Brasil, se tornou um dos sistemas de pagamento mais utilizados do país, processando bilhões de transações mensais.
Para criminosos digitais, essas mesmas características representam uma oportunidade. O sistema funciona 24 horas por dia, liquida pagamentos em segundos e não possui período de reversão automática.
Na maioria dos casos, a vítima só percebe o golpe depois de verificar o extrato da conta — quando recuperar o dinheiro já se torna extremamente difícil.
Como se proteger
Especialistas recomendam algumas medidas básicas para reduzir o risco de infecção:
- baixar aplicativos apenas pela loja oficial do Android
- evitar links de download recebidos por mensagens ou redes sociais
- nunca ativar permissões de acessibilidade solicitadas por aplicativos desconhecidos
- manter o sistema operacional atualizado
Segundo a Zimperium, detectar ameaças como o PixRevolution exige análise comportamental em tempo real, já que o malware utiliza permissões legítimas do sistema e ações autorizadas pela própria vítima.
Os pesquisadores alertam ainda que esse modelo de ataque pode se expandir para outros sistemas de pagamento instantâneo ao redor do mundo, como o UPI na Índia e o FedNow nos Estados Unidos.
No fundo, o truque é quase filosófico: o malware não quebra o sistema bancário — ele usa o próprio usuário como interface de ataque. O código apenas observa, espera e altera um detalhe microscópico no momento certo. Em segurança digital, às vezes um único caractere trocado decide para onde o dinheiro vai.
