Um novo malware direcionado a usuários de Android no Brasil está preocupando especialistas em segurança digital. Batizado de BeatBanker, o programa malicioso se disfarça de aplicativo do Instituto Nacional do Seguro Social (INSS) para enganar vítimas e, depois de instalado, pode minerar criptomoedas, roubar dados financeiros e espionar o usuário.
O alerta foi divulgado por pesquisadores da Kaspersky, que identificaram a campanha maliciosa em circulação.
O golpe começa antes da instalação
A infecção começa com um site falso criado pelos criminosos. A página, hospedada no domínio cupomgratisfood[.]shop, imita visualmente a interface da Google Play Store.
Nesse site fraudulento, os usuários encontram um aplicativo chamado “INSS Reembolso”, apresentado como um portal oficial para consulta de benefícios e serviços previdenciários.
Quando a vítima faz o download, instala na verdade um trojan, um tipo de malware que se passa por software legítimo para ganhar acesso ao dispositivo.
Camadas de proteção dificultam a detecção
O BeatBanker foi projetado para dificultar o trabalho de antivírus e pesquisadores. O código malicioso é protegido por múltiplas camadas de empacotamento e ofuscação.
Em vez de gravar o malware diretamente no armazenamento do celular, o código é executado apenas na memória temporária do dispositivo. Como muitos antivírus analisam principalmente arquivos armazenados no sistema, essa técnica torna a ameaça mais difícil de detectar.
O malware também verifica se está rodando em um ambiente de análise. Especialistas costumam estudar vírus usando emuladores, programas que simulam um smartphone dentro de um computador. Caso o BeatBanker detecte esse tipo de ambiente, ele encerra imediatamente sua execução para evitar ser analisado.
O truque do áudio quase inaudível
Um detalhe curioso da estratégia do malware envolve o próprio funcionamento do sistema operacional.
Para impedir que o Android finalize o processo automaticamente, o BeatBanker mantém um arquivo de áudio de cinco segundos rodando em loop, em volume quase imperceptível.
No Android, aplicativos que reproduzem mídia ativa recebem prioridade do sistema para evitar que o áudio seja interrompido inesperadamente. O malware explora exatamente essa regra para permanecer ativo.
O arquivo de áudio contém palavras em chinês, o que pode indicar a origem — ou ao menos inspiração — dos desenvolvedores.
Além disso, o aplicativo exibe uma notificação permanente simulando uma “atualização do sistema”, dificultando ainda mais que o usuário perceba a atividade maliciosa.
Mineração clandestina de criptomoedas
Ao interagir com uma falsa tela de atualização da Play Store exibida pelo malware, a vítima acaba autorizando o download de um minerador de criptomoedas.
Esse componente utiliza o poder de processamento do celular para minerar Monero (XMR), criptomoeda conhecida por priorizar anonimato nas transações.
Para evitar levantar suspeitas, o malware monitora constantemente a temperatura da bateria e o nível de carga. Caso o dispositivo esteja aquecendo demais ou com pouca bateria, a mineração é pausada automaticamente.
A comunicação com os dispositivos infectados ocorre por meio do Firebase Cloud Messaging, um serviço legítimo do Google usado por milhares de aplicativos para enviar notificações. Ao usar essa infraestrutura confiável, o tráfego malicioso se mistura ao tráfego normal de aplicativos.
Roubo de criptomoedas em tempo real
Além da mineração, o BeatBanker inclui um módulo voltado para roubo financeiro.
Esse componente solicita acesso às permissões de acessibilidade do Android, originalmente criadas para ajudar pessoas com deficiência a interagir com o sistema.
Com esse acesso, o malware passa a monitorar as ações do usuário no celular.
Quando detecta que a vítima está usando aplicativos como Binance ou Trust Wallet para transferir USDT, o malware entra em ação.
Ele exibe uma tela falsa sobre o aplicativo legítimo e substitui silenciosamente o endereço da carteira de destino pelo endereço controlado pelos criminosos. Como transações em criptomoedas são irreversíveis, o dinheiro desaparece antes que a vítima perceba o golpe.
Nova versão amplia capacidade de espionagem
Nas versões mais recentes analisadas pelos pesquisadores, o módulo bancário foi substituído pelo BTMOB RAT, uma ferramenta de acesso remoto vendida no modelo Malware as a Service (MaaS).
Nesse modelo, criminosos podem alugar o malware, da mesma forma que empresas pagam por softwares legítimos.
Entre as funcionalidades da ferramenta estão:
-
gravação de tela em tempo real
-
captura de tudo que a vítima digita
-
acesso à câmera do dispositivo
-
monitoramento da localização via GPS
Como se proteger
Especialistas recomendam algumas medidas básicas para reduzir o risco de infecção:
-
baixar aplicativos apenas da Play Store oficial
-
verificar sempre o nome do desenvolvedor do aplicativo
-
desconfiar de apps que pedem permissões excessivas, principalmente acessibilidade
-
evitar instalar aplicativos de sites externos
-
manter o sistema operacional e antivírus atualizados
Existe um padrão curioso na evolução do malware mobile. O ataque raramente começa com uma falha técnica sofisticada. Ele começa com confiança — um site que parece legítimo, um aplicativo que promete resolver um problema e um botão de download aparentemente inocente. No mundo digital, muitas invasões ainda acontecem da forma mais humana possível: alguém clicou.
