Em 2020, o Banco Central do Brasil implementou o PIX, um sistema de pagamentos instantâneos que transformou profundamente o cenário financeiro do país. Atualmente, mais de 76% da população brasileira utiliza a plataforma para realizar transferências imediatas por meio de smartphones.
Nesse contexto, pesquisadores da zLabs identificaram um novo trojan bancário para Android projetado especificamente para explorar esse sistema e, consequentemente, atingir a maioria das instituições financeiras brasileiras.
- Leia também: Arquitetura SASE: Entenda Como Funciona o Novo Modelo de Segurança em Nuvem
- Leia também: Guerra dos Chips: o impacto da disputa por semicondutores na economia e na IA
- Leia também: Como Ganhar Dinheiro na Internet: 20 Ideias Reais Para Começar Hoje
Diferentemente de outros malwares financeiros tradicionais, essa nova variante opera silenciosamente dentro do dispositivo da vítima até o momento exato em que uma transferência PIX é iniciada. Em outras palavras, o processo aparenta ser totalmente legítimo: o usuário insere o valor da transferência, digitar a chave PIX do destinatário e confirma o envio.
Nesse momento, um indicador de carregamento familiar com a mensagem “Aguarde…” aparece na tela. Em seguida, o aplicativo exibe uma confirmação de que a transferência foi concluída com sucesso.
No entanto, o que o usuário não percebe é que o dinheiro não foi enviado para o destinatário correto. Em vez disso, os fundos são redirecionados para uma conta controlada por criminosos que monitoram a tela da vítima em tempo real.
Essa técnica define o funcionamento do malware conhecido como PixRevolution. O que torna essa ameaça particularmente perigosa, em comparação com trojans bancários tradicionais, é sua arquitetura operacional. Em vez de depender exclusivamente de automação, o ataque pode contar com um operador humano ou até mesmo com um agente de inteligência artificial que acompanha remotamente a tela do dispositivo da vítima e intervém no momento exato da transação.
Por que o PIX? Por que o Brasil?
O sistema PIX, lançado pelo Banco Central do Brasil em 2020, mudou radicalmente a forma como o dinheiro circula no país.
Atualmente, o sistema processa mais de 3 bilhões de transações por mês, funcionando 24 horas por dia, 7 dias por semana, com liquidação quase instantânea.
Para os consumidores, isso representa rapidez e conveniência. Por outro lado, para criminosos, essas mesmas características criam um alvo extremamente atraente.
A principal razão é simples: as transferências PIX são instantâneas e irrevogáveis. Ou seja, uma vez concluída a operação, não existe período de contestação ou retenção do pagamento. O dinheiro simplesmente é transferido e, na maioria dos casos, torna-se praticamente impossível recuperá-lo.
O malware PixRevolution foi desenvolvido especificamente para explorar essa característica. Cada elemento técnico da sua arquitetura — desde a transmissão de tela em tempo real até o controle remoto do ataque — foi projetado com um único objetivo: interceptar uma transferência PIX no momento da confirmação e redirecioná-la antes que a vítima perceba.
Como as vítimas são infectadas
A campanha maliciosa utiliza uma estratégia de distribuição em múltiplas camadas baseada, principalmente, em engenharia social e falsificação de identidade.
Os atacantes criam páginas falsas que imitam perfeitamente a Google Play Store. Essas páginas são hospedadas em domínios controlados pelos criminosos e replicam com precisão o layout da loja oficial.
Elas incluem:
- descrição de aplicativos
- avaliações falsas
- capturas de tela
- botão de instalação
Entretanto, quando o usuário clica no botão “Instalar”, em vez de ser redirecionado para a Play Store verdadeira, ele baixa diretamente um APK malicioso.
Figura 1
Página falsa da Google Play Store usada para distribuir APKs do dropper PixRevolution.
Durante a análise de 14 amostras, pesquisadores identificaram diversas campanhas que se passavam por marcas conhecidas no Brasil.
| Nome do aplicativo | Marca falsificada | Tipo |
| Expedia: viagem, hotel, voo | Expedia | Dropper |
| Sicredi X | Sicredi | RAT e Dropper |
| Correios | Correios do Brasil | RAT e Dropper |
| Reconhecimento XP | XP Investimentos | RAT |
| STJ | Superior Tribunal de Justiça | Dropper |
| Caçamba Central | Serviço de coleta de lixo | RAT |
| PARANÁ CAÇAMBAS | Serviço regional de resíduos | RAT e Dropper |
| Antivírus AVG | AVG Antivirus | RAT e Dropper |
| PILATESEMCASA | Aplicativo fitness | RAT e Dropper |
A escolha dessas identidades falsas não é aleatória. Aplicativos como Expedia ou Correios, por exemplo, são populares e amplamente confiáveis entre os usuários brasileiros. Já o uso do nome do Superior Tribunal de Justiça (STJ) transmite uma falsa sensação de legitimidade institucional.
Além disso, algumas das amostras funcionam como droppers, cuja única função é instalar silenciosamente o verdadeiro malware.
Nesse processo, o dropper carrega o trojan dentro de um arquivo interno chamado:
assets/update.apk
Em seguida, utiliza a API PackageInstaller do Android para instalar o malware sem exigir interação adicional do usuário.
Durante a instalação, o próprio dropper monitora o progresso da operação registrando eventos internos como:
onInstallProgress(30)
onInstallFinished()
A Armadilha da Engenharia Social
Após a instalação do aplicativo malicioso, a vítima visualiza uma tela de boas-vindas aparentemente legítima.
Essa interface foi construída usando tecnologias web modernas e solicita ao usuário que habilite um serviço de acessibilidade chamado “Revolution”.
Além disso, a página apresenta instruções específicas para diferentes fabricantes de dispositivos, incluindo:
- Samsung
- Xiaomi
- Motorola
Isso acontece porque os menus de acessibilidade variam ligeiramente entre esses dispositivos.
A interface ainda exibe uma mensagem tranquilizadora:
“Esta permissão é usada apenas para ativar recursos do aplicativo. Nenhuma informação pessoal é coletada.”
Naturalmente, essa afirmação é falsa.
Mesmo assim, a apresentação convincente faz com que muitos usuários concedam a permissão solicitada.
Figura 2
Tela de engenharia social solicitando que o usuário habilite o serviço de acessibilidade “Revolution”.
Depois de ativar a permissão, o usuário é redirecionado para o site legítimo do Banco do Brasil, o que reforça a impressão de que o aplicativo é confiável.
Enquanto isso, nos bastidores, o malware acaba de obter acesso praticamente total ao dispositivo.
Por Dentro do Ataque: Um Assalto em Cinco Atos
A operação do PixRevolution pode ser compreendida como uma sequência cuidadosamente orquestrada de etapas. Nesse processo, o malware e o operador remoto trabalham em conjunto para realizar o desvio da transferência.
Figura 3
Fluxo de ataque do PixRevolution.
Ato 1: O Troiano Acorda
Assim que o serviço de acessibilidade é ativado, o malware começa a monitorar todos os eventos do dispositivo.
Sua configuração solicita o tipo AllMask, o que permite receber notificações sobre praticamente todas as alterações da interface em qualquer aplicativo.
Na prática, isso significa que o malware pode:
- ler todo o texto visível na tela
- monitorar aplicativos abertos
- simular toques
- executar gestos de deslizar
Exemplo de configuração do serviço:
// Configuração do serviço de acessibilidade
eventTypes = “typeAllMask”
canRetrieveWindowContent = true
canPerformGestures = true
Consequentemente, o trojan consegue acessar praticamente qualquer informação exibida no dispositivo — incluindo aplicativos bancários, mensagens, e-mails e redes sociais.
No entanto, seu foco principal está nas transações financeiras.
Ato 2: A Operadora Conecta
Em seguida, o trojan estabelece uma conexão persistente com um servidor de Comando e Controle (C2) usando TCP na porta 9000.
Para manter a comunicação ativa, o malware envia periodicamente mensagens de heartbeat, contendo informações como:
- ID do dispositivo
- nível da bateria
- tipo de conexão de rede
Além disso, um endpoint HTTP adicional na porta 3030 coleta telemetria complementar.
Outro elemento crucial do ataque é a ativação da captura de tela em tempo real.
Utilizando a API MediaProjection, o malware cria uma tela virtual que espelha a tela do dispositivo da vítima. Cada quadro é capturado como um bitmap, comprimido em JPEG e transmitido ao servidor C2.
Assim, o operador remoto consegue ver exatamente o que a vítima está vendo — quase em tempo real.
Ato 3: Esperando o Momento Certo
O PixRevolution não executa ataques de forma aleatória.
Em vez disso, ele permanece em observação até detectar sinais de que uma transação financeira está em andamento.
Para isso, o malware contém uma lista com mais de 80 frases relacionadas a transações financeiras, todas codificadas em Base64 para evitar detecção simples.
Essas frases incluem expressões como:
| Categoria | Exemplos |
| PIX | pagamento de pix efetuado, pix enviado |
| Transferência | transferência confirmada |
| Saldo | saldo disponível |
| Faturas | fatura paga |
| Investimentos | investimento concluído |
Sempre que um texto exibido na tela corresponde a uma dessas frases, o malware envia um alerta para o servidor C2:
TRANSAÇÃO_DETECTADA
palavra-chave=pix enviado
texto_raw=<texto da tela>
frame=SIM
Se frame=SIM, uma captura de tela também é enviada.
Ato 4: O Sequestro
Quando o operador identifica uma transação PIX em andamento, ele envia um comando para o malware contendo a chave PIX do atacante:
{ “type”: “text”, “value”: “<attacker_pix_key>” }
A partir daí, o malware executa uma sequência rápida de ações:
- Exibe uma sobreposição com a mensagem “Aguarde…”
- Localiza o campo de entrada ativo
- Substitui a chave PIX original pela chave do atacante
- Simula o toque no botão de confirmação
- Remove a sobreposição
Todo o processo leva apenas alguns segundos.
Figura 4
Tela “Aguarde…” usada para esconder o ataque.
Ato 5: O Ato do Desaparecimento
Do ponto de vista da vítima, nada de incomum aconteceu. O aplicativo exibiu brevemente um indicador de carregamento, algo que ocorre rotineiramente durante operações bancárias legítimas. A transferência foi confirmada com sucesso. O valor que pretendiam enviar foi debitado de sua conta.
Só mais tarde, às vezes muito mais tarde, é que a vítima descobre que o dinheiro foi para a conta errada. E como as transferências PIX são instantâneas e definitivas, a recuperação é extremamente difícil.
O que torna o PixRevolution diferente?
O cenário de trojans em sistemas bancários móveis não é novo. Mas o PixRevolution introduz diversas escolhas arquitetônicas que o diferenciam de seus predecessores.
O Modelo do Agente no Circuito
A maioria dos trojans bancários opera de forma automatizada: detectam um aplicativo alvo, exibem uma sobreposição de phishing, capturam credenciais e as reproduzem. O PixRevolution adota uma abordagem fundamentalmente diferente. Ele exige um operador ativo no circuito: alguém que observa a tela da vítima em tempo real e decide precisamente quando e como agir. Esse operador pode ser humano ou um agente de IA com acesso aos elementos da interface do usuário (semelhante ao OpenClaw, lançado recentemente ). O malware contorna o maior desafio no desenvolvimento de trojans bancários: acompanhar as mudanças na interface do usuário em dezenas de aplicativos bancários.
Os trojans automatizados falham quando um banco atualiza sua interface. O PixRevolution não se importa com a aparência da interface, pois um agente a lê em tempo real.
Independente de bancos por natureza.
Não existe uma lista fixa de aplicativos bancários alvo no código do PixRevolution. Ele não precisa de uma. O serviço de acessibilidade monitora todos os aplicativos no dispositivo, e o sistema de detecção de palavras-chave busca frases relacionadas a transações, independentemente do aplicativo que as esteja exibindo. Isso significa que o malware é eficaz contra qualquer aplicativo financeiro brasileiro que utilize o PIX , e não apenas contra uma lista pré-selecionada.
Os logotipos dos bancos encontrados no código não são gatilhos de detecção. São elementos temáticos. O operador envia um código bancário (como “NU” para Nubank ou “I” para Itaú) e o malware seleciona o logotipo correspondente para tornar a sobreposição mais convincente. É um detalhe que demonstra o refinamento operacional.
Instituições Financeiras Alvo
O malware contém URLs com os logotipos de 10 grandes instituições financeiras brasileiras, que estão embutidos no código:
| Banco | Código |
| Nubank | NU |
| Itaú Unibanco | EU |
| Banco do Brasil | B |
| Caixa Econômica Federal | C |
| Santander Brasil | S |
| PicPay | P |
| PagSeguro | Classificação Livre |
| Sicredi | SI |
| XP Investimentos | X |
Figura 5. Logotipos bancários fixos encontrados nas amostras do PixRevolution, usados para definir o tema da sobreposição para cada instituição financeira alvo.
Esta lista representa a amplitude das instituições que os agentes maliciosos estão preparados para imitar, desde bancos tradicionais a fintechs digitais e plataformas de investimento.
Escala e impacto
Os números pintam um quadro preocupante. O PIX não é um método de pagamento de nicho, é a forma dominante de movimentação de dinheiro entre os brasileiros. Com mais de 150 milhões de usuários cadastrados e bilhões de transações mensais, mesmo uma pequena taxa de sucesso para uma operação como essa se traduz em perdas financeiras significativas.
A infraestrutura que observamos não é obra de um amador solitário. Domínios de distribuição dedicados com páginas falsas em lojas de aplicativos, cadeias de dropper em múltiplos estágios, recursos de engenharia social sofisticados e um protocolo C2 persistente baseado em TCP com heartbeat e transmissão de tela. Trata-se de fraude móvel organizada e profissional.
A natureza instantânea e irrevogável das transações PIX torna esse tipo de ataque particularmente prejudicial. Ao contrário da fraude com cartão de crédito, em que as transações podem ser contestadas e revertidas, uma transferência PIX comprometida é finalizada assim que a vítima percebe que algo aconteceu.
Zimperium vs. PixRevolution
O PixRevolution representa uma evolução na fraude financeira móvel. Ao combinar a vigilância em tempo real da tela com um agente humano ou de IA como operador, que decide o momento certo para atacar, essa família de malware contorna a tradicional corrida armamentista entre trojans automatizados e as defesas de aplicativos bancários. Não precisa fazer engenharia reversa da interface de cada banco. Não precisa manter uma lista de aplicativos-alvo. Não precisa adivinhar quando uma transação está ocorrendo. Simplesmente observa e age.
Para a vítima em nosso cenário inicial, todo o roubo foi invisível. Uma breve tela de carregamento, uma transferência concluída e dinheiro que jamais será devolvido. A sofisticação não está na complexidade, mas na simplicidade: as permissões corretas, uma transmissão de vídeo ao vivo e uma substituição de texto no momento certo.
Com a expansão global contínua dos sistemas de pagamento instantâneo, do PIX no Brasil ao UPI na Índia e ao FedNow nos Estados Unidos, é improvável que o modelo operacional pioneiro da PixRevolution permaneça restrito a um único mercado. A lição para os defensores é clara: quando o atacante é um agente com acesso à sua tela em tempo real, a detecção estática não é suficiente. Proteger os usuários exige uma defesa em tempo real, integrada ao dispositivo, capaz de identificar e bloquear esses comportamentos no momento em que ocorrem.
O design do PixRevolution, que utiliza um agente no circuito de detecção de malware, e o abuso de APIs legítimas do Android — como Serviços de Acessibilidade, MediaProjection e redes TCP padrão — permitem que ele burle as defesas convencionais baseadas em assinaturas, que dependem apenas de indicadores estáticos. O malware não baixa payloads secundários de URLs maliciosos conhecidos, não explora vulnerabilidades CVE conhecidas e não usa sobreposições de phishing tradicionais. Em vez disso, ele explora permissões concedidas voluntariamente pelo usuário, tornando a detecção dependente da análise comportamental em vez de assinaturas maliciosas conhecidas.
O Mobile Threat Defense (MTD) e o Mobile Runtime Protection (zDefend) da Zimperium oferecem detecção comportamental no dispositivo, identificando o PixRevolution no momento em que ele é ativado. O mecanismo de detecção dinâmica da Zimperium reconhece a combinação de abuso de serviços de acessibilidade, captura de tela não autorizada via MediaProjection e comunicação persistente de C2 como um sinal de ameaça composto, fornecendo proteção contra ataques de dia zero mesmo quando os agentes de ameaças reempacotam as amostras sob novas marcas e IDs de operadoras.
Para empresas, o PixRevolution representa um risco direto para qualquer organização cujos funcionários acessem serviços financeiros, bancos corporativos ou fluxos de pagamento por meio de dispositivos móveis. Um dispositivo comprometido pode redirecionar fundos silenciosamente durante transações legítimas, e a natureza instantânea e irrevogável das transferências PIX significa que as perdas são concretizadas antes que a detecção seja possível por meio de monitoramento tradicional. Em ambientes BYOD (Bring Your Own Device – Traga Seu Próprio Dispositivo), onde aplicativos bancários pessoais coexistem com recursos corporativos, uma infecção como o PixRevolution pode resultar em perda financeira direta, interrupção operacional e erosão da confiança nos canais móveis — tornando a proteção baseada em comportamento e no próprio dispositivo um controle crítico.
Técnicas MITRE ATT&CK
| Tática | EU IA | Nome | Descrição |
| Acesso inicial | T1476 | Distribuir aplicativo malicioso por outros meios | Páginas falsas da Google Play Store hospedadas em domínios controlados por atacantes distribuem APKs maliciosos diretamente para as vítimas. |
| Acesso inicial | T1660 | Phishing | Domínios controlados por atacantes se fazem passar por marcas brasileiras confiáveis (Expedia, Correios, STJ) para atrair usuários a instalar aplicativos maliciosos. |
| Persistência | T1541 | Persistência em primeiro plano | Inicia um serviço em primeiro plano para a captura de tela do MediaProjection, a fim de manter o acesso persistente e sobreviver ao encerramento do processo em segundo plano. |
| Evasão defensiva | T1655.001 | Disfarce: Usar nome ou localização legítimos. | Os APKs de dropper se fazem passar por marcas conhecidas (Expedia, Correios, AVG Antivirus) e usam ícones e descrições de aplicativos convincentes. |
| Evasão defensiva | T1628.001 | Ocultar artefatos: Suprimir ícone do aplicativo | O componente Dropper se oculta após instalar silenciosamente o payload do RAT por meio da API PackageInstaller. |
| Descoberta | T1426 | Descoberta de informações do sistema | As mensagens de pulsação enviadas para o C2 incluem o ID do dispositivo, o nível da bateria e o tipo de rede para traçar o perfil dos dispositivos vítimas. |
| Coleção | T1513 | Captura de tela | Utiliza a API MediaProjection do Android para criar uma tela virtual, capturar quadros da tela como bitmaps, comprimir para JPEG e transmitir para o C2 em tempo real. |
| Coleção | T1417 | Captura de entrada | O serviço de acessibilidade com configuração typeAllMask lê todo o texto visível na tela em todos os aplicativos. |
| Comando e Controle | T1437 | Protocolo da camada de aplicação | Conexão TCP persistente com o C2 na porta 9000 com keepalives de heartbeat; endpoint HTTP secundário na porta 3030 para telemetria. |
| Impacto | T1516 | Injeção de entrada | Usa performAction(ACTION_SET_TEXT) para substituir o destinatário PIX e dispatchGesture() para simular o toque de confirmação, interceptando transações por trás de uma sobreposição em tela cheia. |
