Pesquisadores de segurança cibernética descobriram seis novas famílias de malware para Android capazes de roubar dados de dispositivos comprometidos e realizar fraudes financeiras. Essas ameaças demonstram como o ecossistema Android continua sendo um alvo importante para criminosos digitais, especialmente em campanhas que buscam acesso a contas bancárias e carteiras de criptomoedas.
- Leia também: Microsoft corrige 84 vulnerabilidades no Patch Tuesday de março, incluindo duas zero-day
- Leia também: Atualizações de segurança corrige falhas críticas em softwares corporativos e dispositivos de rede
- Leia também: Falhas críticas no n8n permite execução remota de código e roubo de credenciais
Entre os malwares identificados estão trojans bancários tradicionais, como PixRevolution, TaxiSpy RAT, BeatBanker, Mirax e Oblivion RAT, além de ferramentas mais completas de controle remoto, como o SURXRAT, que funciona como uma plataforma avançada de administração remota.
De acordo com a empresa de segurança Zimperium, o malware PixRevolution tem como principal alvo a plataforma brasileira de pagamentos instantâneos Pix. A ameaça sequestra transferências de dinheiro em tempo real, direcionando os valores enviados pelas vítimas para contas controladas pelos criminosos.
Segundo o pesquisador de segurança Aazim Yaswant, essa nova variante opera de forma silenciosa dentro do dispositivo até o momento em que a vítima inicia uma transferência via Pix.
“Essa nova variante de malware opera furtivamente dentro do dispositivo até o momento em que a vítima inicia uma transferência Pix”, explicou o pesquisador.
O que diferencia essa ameaça dos trojans bancários convencionais é o seu modelo de operação ativa. Em vez de funcionar apenas de forma automatizada, o malware permite que um operador humano ou até um agente de inteligência artificial observe a tela da vítima em tempo real, aguardando o momento exato da transação para agir.
Como o malware PixRevolution se espalha
O malware é distribuído principalmente por meio de páginas falsas que imitam a Google Play Store, oferecendo aplicativos populares como:
- Expedia
- Sicredi
- Correios
Essas páginas enganam os usuários e os levam a baixar arquivos APK maliciosos fora da loja oficial. Após a instalação, o aplicativo solicita permissões sensíveis, principalmente o acesso aos serviços de acessibilidade do Android, um recurso frequentemente explorado por malwares para controlar o dispositivo.
Depois de ativado, o malware se conecta a um servidor remoto via TCP na porta 9000, enviando mensagens periódicas de status com informações do dispositivo comprometido. Ele também ativa captura de tela em tempo real usando a API MediaProjection do Android.
A principal funcionalidade do PixRevolution, porém, é o monitoramento contínuo da tela do usuário.
Quando a vítima inicia uma transferência Pix e insere o valor e a chave do destinatário, o malware entra em ação.
Nesse momento, o trojan exibe uma sobreposição falsa dentro de um WebView com a mensagem “Aguarde…”, simulando um processo de carregamento normal do aplicativo bancário. Enquanto a vítima vê essa tela aparentemente legítima, o malware altera silenciosamente a chave Pix inserida, substituindo-a pela chave controlada pelo atacante.
Após concluir a fraude, a sobreposição desaparece e o aplicativo mostra uma tela de confirmação indicando que a transferência foi realizada com sucesso.
Do ponto de vista da vítima, nada parece suspeito.
“O aplicativo exibe brevemente um indicador de carregamento, algo comum durante operações bancárias legítimas. A transferência foi confirmada e o valor foi debitado normalmente”, explicou Yaswant.
Na maioria dos casos, a vítima só percebeu o golpe horas ou dias depois, quando descobre que o dinheiro foi enviado para a conta errada.
Como as transferências via Pix são instantâneas e irreversíveis, recuperar o valor torna-se extremamente difícil.
Malware BeatBanker também mira usuários brasileiros
Usuários brasileiros também estão sendo alvo de outra campanha de malware chamada BeatBanker. Essa ameaça se espalha principalmente por meio de ataques de phishing, utilizando sites falsos que imitam a interface da Google Play Store.
O BeatBanker recebeu esse nome devido ao uso de um mecanismo incomum de persistência. O malware reproduz continuamente um arquivo de áudio quase inaudível, uma gravação de aproximadamente cinco segundos contendo palavras em chinês. Essa técnica impede que o sistema operacional suspenda ou encerre o processo malicioso.
Além disso, o malware possui diversas técnicas avançadas de evasão. Ele verifica se está sendo executado em ambientes de análise ou emuladores, monitora a temperatura do dispositivo, o nível da bateria e outras condições do sistema.
Essas informações ajudam o malware a decidir quando ativar ou desativar um minerador de criptomoeda Monero, evitando levantar suspeitas ou consumir recursos excessivos.
Para comunicação com os operadores, o BeatBanker utiliza o Firebase Cloud Messaging (FCM) do Google como infraestrutura de comando e controle (C2).
Segundo a empresa Kaspersky, os APKs maliciosos incluem múltiplos componentes, entre eles:
- um minerador de criptomoedas
- um trojan bancário completo
- módulos capazes de sequestrar o dispositivo
- ferramentas para criar telas falsas
Quando a vítima tenta realizar uma transação com USDT, o malware cria páginas falsas sobrepostas para aplicativos como Binance e Trust Wallet. Nesse processo, ele substitui silenciosamente o endereço de destino da transação pelo endereço controlado pelos criminosos.
O módulo bancário também monitora diversos navegadores populares, incluindo:
- Chrome
- Edge
- Firefox
- Brave
- Opera
- DuckDuckGo
- Dolphin Browser
- sBrowser
O objetivo é registrar os URLs acessados e identificar atividades financeiras.
Além disso, o malware pode receber uma grande variedade de comandos do servidor remoto para coletar dados pessoais e assumir controle completo do dispositivo.
BTMOB RAT amplia controle remoto dos ataques
Versões mais recentes da campanha passaram a utilizar o RAT BTMOB como carga útil final. Essa ferramenta oferece controle remoto completo, acesso persistente e vigilância contínua sobre os dispositivos infectados.
Pesquisadores acreditam que o BTMOB seja uma evolução de famílias conhecidas, incluindo:
- CraxsRAT
- CypherRAT
- SpySolr
Essas ferramentas costumam ser associadas a um agente de ameaças sírio conhecido pelo pseudônimo EVLF.
De acordo com a Kaspersky, o código-fonte do BTMOB também apareceu à venda em fóruns da dark web, o que pode indicar que os desenvolvedores do BeatBanker adquiriram a ferramenta de terceiros.
TaxiSpy RAT coleta dados sensíveis dos dispositivos
Outro malware identificado nas campanhas recentes é o TaxiSpy RAT.
Assim como o PixRevolution, ele explora serviços de acessibilidade do Android e a API MediaProjection para capturar dados do dispositivo.
O malware é capaz de coletar:
- mensagens SMS
- contatos
- registros de chamadas
- conteúdo da área de transferência
- lista de aplicativos instalados
- notificações
- PIN da tela de bloqueio
- teclas digitadas
Além disso, ele cria sobreposições falsas em aplicativos bancários, carteiras de criptomoedas e serviços governamentais, com o objetivo de roubar credenciais.
O TaxiSpy combina características de trojan bancário tradicional com funcionalidades completas de RAT, permitindo que operadores remotos executem comandos diretamente no dispositivo da vítima.
Pesquisadores da CYFIRMA identificaram diversas amostras desse malware, indicando que os atacantes continuam desenvolvendo novas variantes para evitar detecção por antivírus e sistemas de segurança.
Segundo os especialistas, o malware utiliza técnicas avançadas de evasão, como:
- criptografia de bibliotecas nativas
- ofuscação de strings com XOR rotativo
- controle remoto em tempo real semelhante ao VNC via WebSocket
Esse design permite vigilância completa do dispositivo, evidenciando a motivação financeira da campanha.
Mirax e Oblivion: malware Android como serviço
Outro trojan bancário relevante é o Mirax, anunciado como Malware-as-a-Service (MaaS) por um operador conhecido como Mirax Bot.
O serviço custa cerca de:
- US$ 2.500 por mês para a versão completa
- US$ 1.750 por mês para a versão simplificada
O Mirax oferece funcionalidades como:
- sobreposições bancárias falsas
- coleta de dados digitados
- captura de SMS
- roubo de padrões de desbloqueio
- proxy SOCKS5 para ocultar tráfego malicioso
Outro exemplo desse modelo é o Oblivion RAT, vendido por cerca de US$ 300 por mês ou US$ 1.900 por ano.
Uma característica marcante do Oblivion é seu sistema automatizado de concessão de permissões, que permite ativar funções críticas sem interação direta da vítima.
Segundo os desenvolvedores, o malware consegue operar em diferentes interfaces Android personalizadas, incluindo:
- MIUI / HyperOS (Xiaomi)
- One UI (Samsung)
- ColorOS (OPPO)
- MagicOS (Honor)
- OxygenOS (OnePlus)
Essa compatibilidade amplia significativamente o alcance da ameaça.
SURXRAT: malware com integração de inteligência artificial
Outra família observada recentemente é o SURXRAT, considerada uma evolução do malware Arsink.
Distribuído por meio de um ecossistema MaaS no Telegram, o SURXRAT utiliza permissões abusivas para obter controle persistente sobre dispositivos Android.
A comunicação com os operadores ocorre por meio de infraestrutura de comando e controle baseada no Firebase.
Algumas amostras também incluem um módulo de bloqueio de tela semelhante a ransomware, permitindo que os criminosos bloqueiem o dispositivo e exijam pagamento para liberar o acesso.
Outro aspecto que chamou a atenção dos pesquisadores é a presença de componentes baseados em modelos de linguagem (LLM) dentro de algumas variantes.
Esse módulo é ativado apenas quando determinados aplicativos de jogos estão ativos no dispositivo da vítima, como:
- Free Fire MAX
- Free Fire
A presença desses componentes sugere que os atacantes estão experimentando o uso de inteligência artificial para aprimorar ataques e automatizar tarefas de vigilância.
Evolução acelerada do malware Android
Especialistas alertam que muitas dessas famílias de malware utilizam estruturas existentes de RATs Android, acelerando o desenvolvimento de novas campanhas maliciosas.
Segundo pesquisadores da Cyble, essa reutilização permite que criminosos introduzam rapidamente novas funcionalidades de espionagem, controle remoto e fraude financeira.Além disso, a experimentação com inteligência artificial dentro de malwares indica que os agentes de ameaças estão explorando tecnologias emergentes para aumentar a eficácia das operações e dificultar a detecção pelos sistemas de segurança.
Fonte: The Hacker News—https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html
