Campanhas combinam abuso de acessibilidade, captura de tela, sobreposições falsas, controle remoto e módulos MaaS para interceptar pagamentos, credenciais e transações em dispositivos Android.
| Componente | Famílias Android PixRevolution, BeatBanker, TaxiSpy RAT, Mirax, Oblivion RAT e SURXRAT, com foco em Pix, aplicativos bancários, carteiras de criptoativos e controle remoto de dispositivos. |
| Vetor | Distribuição por páginas falsas que imitam a Google Play Store, phishing e ecossistemas MaaS, seguida de instalação de APK malicioso e solicitação de permissões abusivas, principalmente serviços de acessibilidade e captura de tela. |
| Impacto | Intercepção de transferências Pix e USDT, roubo de credenciais, coleta de SMS, contatos, notificações, área de transferência, PINs, teclas digitadas, listas de aplicativos e controle remoto persistente do aparelho. |
| Prioridade | Bloquear instalação fora de lojas confiáveis, auditar concessões de acessibilidade e MediaProjection, monitorar sobreposições suspeitas, revisar transações financeiras contestadas e remover APKs não autorizados dos dispositivos afetados. |
| Artefatos | Uso de WebView falso, Android MediaProjection API, Firebase Cloud Messaging, WebSocket para controle remoto, proxy SOCKS5 anunciado em MaaS, minerador de Monero em BeatBanker e comunicação TCP na porta 9000 em PixRevolution. |
| Limites | O contexto descreve capacidades e campanhas observadas, mas não fornece hashes, domínios de infraestrutura, nomes de pacotes Android, versões específicas de aplicativos bancários afetados ou amostras para validação independente. |
Seis famílias recentes de malware Android ampliam a pressão sobre usuários de serviços financeiros móveis ao combinar técnicas clássicas de trojan bancário com capacidades de ferramenta de administração remota. PixRevolution, BeatBanker, TaxiSpy RAT, Mirax, Oblivion RAT e SURXRAT aparecem no mesmo cenário operacional: abuso de permissões sensíveis do Android, sobreposições falsas sobre aplicativos legítimos, observação da tela em tempo real, coleta de dados pessoais e comandos remotos enviados por infraestrutura controlada pelo operador. A superfície mais sensível inclui pagamentos instantâneos via Pix, transações em carteiras de criptoativos, aplicativos bancários, navegadores e mecanismos de autenticação baseados em SMS, notificações ou PIN de bloqueio.
O caso mais diretamente ligado ao Brasil é o PixRevolution, projetado para observar a tela do aparelho no momento em que a vítima inicia uma transferência Pix. O malware permanece discreto até identificar a etapa de pagamento, apresenta uma sobreposição de espera e altera o destino da transação em segundo plano. A vítima vê um fluxo que se parece com uma operação bancária normal, com confirmação final e débito do valor pretendido, mas o dinheiro é direcionado para uma chave controlada pelo operador. Como transferências Pix são imediatas e difíceis de reverter depois de concluídas, a janela de resposta é curta e a detecção preventiva no dispositivo se torna mais importante do que a recuperação posterior.
As demais famílias reforçam uma tendência de industrialização do malware móvel. BeatBanker combina trojan bancário, minerador de Monero, verificações contra análise e substituição de endereço em transações USDT. TaxiSpy RAT coleta dados extensos do aparelho e usa sobreposições para roubo de credenciais contra bancos, criptoativos e aplicativos governamentais russos. Mirax, Oblivion e SURXRAT aparecem como ofertas comerciais ou ecossistemas MaaS, baixando a barreira técnica para operadores menos experientes e acelerando a reutilização de componentes como controle remoto oculto, persistência, abuso de acessibilidade e infraestrutura baseada em Firebase.
A cadeia comum começa fora do fluxo normal de confiança do Android. O usuário é atraído por páginas falsas que imitam listagens da Google Play Store ou por campanhas de phishing, com exemplos de iscas associadas a marcas como Expedia, Sicredi e Correios. O objetivo inicial é convencer a vítima a instalar um APK que atua como dropper ou como aplicativo malicioso completo. Depois da instalação, o aplicativo induz a concessão de permissões críticas, sobretudo serviço de acessibilidade, que permite observar e interagir com a interface, e MediaProjection, que permite captura de tela. Essas permissões são centrais porque tornam viável ler conteúdo exibido, detectar estados de aplicativos financeiros e executar cliques ou edições que o usuário não percebe.
No PixRevolution, o dispositivo infectado envia mensagens periódicas de atividade para um servidor externo por TCP na porta 9000, incluindo informações do aparelho, e ativa captura de tela em tempo real. O componente malicioso monitora o momento em que a vítima informa valor e chave Pix de destino. Quando a transferência entra na etapa sensível, o malware exibe uma WebView falsa com mensagem de espera e usa a janela criada pela sobreposição para substituir a chave informada pela vítima por uma chave do operador. Em seguida, remove a sobreposição e deixa o aplicativo bancário exibir a confirmação de transferência. O impacto confirmado nesse fluxo é a alteração furtiva do beneficiário, não um vazamento amplo de dados bancários descrito como consequência direta.
BeatBanker apresenta uma cadeia mais híbrida. A campanha também mira usuários brasileiros e usa phishing com página disfarçada de Google Play Store. Após a instalação, o malware executa verificações de ambiente para identificar emulação ou análise, monitora temperatura e porcentagem de bateria e decide quando iniciar ou interromper mineração de Monero. A persistência descrita inclui reprodução em loop de um áudio quase inaudível com cinco segundos de fala em chinês, usada para dificultar o encerramento do processo. O controle remoto usa Firebase Cloud Messaging, enquanto o módulo bancário intercepta tentativas de transação USDT em Binance e Trust Wallet por meio de sobreposições que substituem o endereço de destino.
TaxiSpy RAT amplia o modelo para vigilância e comando remoto. Ele abusa dos serviços de acessibilidade e da API MediaProjection para coletar SMS, contatos, registros de chamadas, conteúdo da área de transferência, lista de aplicativos, notificações, PINs de bloqueio e teclas digitadas. O malware também observa aplicativos bancários, de criptoativos e governamentais russos e injeta sobreposições para capturar credenciais. As amostras descritas usam criptografia de biblioteca nativa, ofuscação de strings por XOR variável e controle remoto semelhante a VNC via WebSocket, indicando preocupação explícita com evasão de assinaturas e listas de bloqueio.
Mirax, Oblivion e SURXRAT mostram como o ecossistema MaaS transforma capacidades técnicas em produto criminoso. Mirax foi anunciado como oferta privada com sobreposições bancárias, coleta de teclas, SMS e padrões de bloqueio, além de proxy SOCKS5 para rotear tráfego por dispositivos comprometidos. Oblivion foi vendido com promessa de contornar mecanismos de segurança em aparelhos de grandes fabricantes e automatizar concessões de permissão sem interação adicional da vítima, com menções a MIUI, HyperOS, One UI, ColorOS, MagicOS e OxygenOS. SURXRAT, avaliado como evolução de Arsink, usa acessibilidade para controle persistente e Firebase como infraestrutura de comando. Amostras selecionadas também trazem componente de modelo de linguagem acionado em condições específicas e módulo de bloqueio de tela com comportamento semelhante a ransomware.
A superfície afetada é composta por dispositivos Android nos quais o usuário instala APKs fora de uma cadeia confiável e concede permissões de alto risco. O risco não depende apenas do aplicativo bancário usado, mas da combinação entre interface do sistema, permissões de acessibilidade, captura de tela e capacidade de sobreposição. Quando o malware consegue observar o estado da tela e interagir com campos sensíveis, ele pode manipular a experiência do usuário sem precisar quebrar criptografia do aplicativo financeiro ou comprometer diretamente a infraestrutura bancária.
No Brasil, a maior exposição descrita envolve PixRevolution e BeatBanker. O primeiro mira o fluxo Pix em tempo real e exige atenção especial a transferências que parecem concluídas corretamente, mas chegam a destinatários errados. O segundo mira transações USDT e coleta dados por meio de um módulo bancário ou, em iterações mais recentes, entrega BTMOB RAT como payload final. O contexto também aponta que BTMOB é tratado como evolução de CraxsRAT, CypherRAT e SpySolr, famílias associadas ao alias EVLF, mas não fornece indicadores técnicos suficientes para afirmar quais campanhas, amostras ou operadores específicos estão presentes em cada infecção individual.
- Dispositivos Android com APKs instalados a partir de páginas falsas, phishing ou canais de venda MaaS.
- Contas que realizam Pix, transações USDT ou uso frequente de aplicativos bancários e carteiras como Binance e Trust Wallet.
- Aparelhos com permissões de acessibilidade concedidas a aplicativos sem função legítima de assistência, automação corporativa ou gerenciamento autorizado.
- Navegadores monitorados pelo BeatBanker, incluindo Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser e sBrowser.
- Ambientes móveis sem inventário de aplicativos, sem política de bloqueio de instalação externa e sem telemetria de permissões críticas.
A detecção deve priorizar sinais comportamentais, porque várias famílias descritas usam ofuscação, criptografia de bibliotecas nativas, mudança de amostras e infraestrutura de mensagens legítima para reduzir a eficácia de assinaturas estáticas. Em MDM, EDR móvel ou telemetria nativa do Android Enterprise, os principais pontos de observação são concessões recentes de acessibilidade, uso de MediaProjection por aplicativos não aprovados, presença de WebView ou janelas de sobreposição durante sessões bancárias, tráfego incomum para serviços de mensageria de comando e tentativas de manter execução contínua em segundo plano.
Para PixRevolution, um sinal operacional relevante é a combinação de captura de tela, comunicação TCP para servidor externo na porta 9000 e exibição de sobreposição de espera no momento de uma transferência Pix. Para BeatBanker, procure instalação originada por página falsa de loja, execução de áudio repetitivo quase inaudível, comportamento de mineração condicionado a estado do dispositivo e comandos recebidos por Firebase Cloud Messaging. Para TaxiSpy RAT e SURXRAT, a busca deve incluir coleta de SMS, contatos, notificações, área de transferência e controle remoto por WebSocket ou Firebase, especialmente quando o aplicativo não tem justificativa empresarial para acessar esses dados.
Em instituições financeiras, a telemetria de fraude deve correlacionar reclamações de destinatário Pix incorreto com evidências no dispositivo, sem presumir erro do usuário. Sessões com alteração de chave de destino no último passo, uso de sobreposição, perda momentânea de visibilidade da interface ou padrões anômalos de confirmação podem indicar manipulação local. Em carteiras de criptoativos, a substituição silenciosa de endereço de destino é o evento-chave: divergência entre endereço copiado, endereço exibido e endereço efetivamente transmitido deve ser investigada com foco em malware no endpoint móvel.
- Aplicativos recém-instalados que solicitam acessibilidade, captura de tela, leitura de notificações, SMS, contatos, registros de chamadas ou área de transferência.
- Uso de MediaProjection por aplicativo que não é ferramenta corporativa autorizada, solução de reunião, gravação de tela legítima ou recurso de acessibilidade aprovado.
- Janelas de sobreposição ou WebView exibidas durante Pix, login bancário, transação USDT ou uso de carteiras de criptoativos.
- Comunicação persistente com Firebase Cloud Messaging ou WebSocket associada a aplicativo desconhecido, fora de um fluxo esperado de produto legítimo.
- Eventos de bateria, temperatura e execução em segundo plano próximos a uso de mineração, especialmente quando acompanhados de tráfego e consumo anormal.
- Relatos de transferência concluída para destinatário errado, confirmação visual normal e ausência de erro bancário aparente.
A resposta deve começar pela contenção do dispositivo, não apenas pela revisão da conta financeira. Um aparelho suspeito deve ser removido de redes corporativas e perfis de trabalho até que os aplicativos instalados, permissões concedidas e eventos de sobreposição sejam revisados. A revogação de acessibilidade para aplicativos não autorizados é prioritária, seguida da remoção do APK suspeito e verificação de persistência. Quando houver indício de controle remoto, a equipe deve considerar que SMS, notificações, contatos, PINs, teclas digitadas e conteúdo de área de transferência podem ter sido observados durante a janela de infecção.
Para usuários e organizações no Brasil, políticas de bloqueio de instalação por fontes desconhecidas e allowlist de aplicativos são medidas centrais contra PixRevolution e BeatBanker. Dispositivos corporativos devem impedir sideloading sempre que possível, registrar alterações de permissões sensíveis e alertar quando aplicativos fora do inventário solicitarem acessibilidade ou MediaProjection. Usuários que realizam pagamentos Pix devem validar o destinatário final com atenção especial quando o aplicativo exibir telas de espera inesperadas ou quando a confirmação ocorrer após atraso incomum, mas a defesa não deve depender apenas de percepção humana, já que a técnica foi construída para parecer uma operação normal.
Em caso de transação Pix ou USDT desviada, a contenção deve incluir registro do horário, aplicativo usado, valor, destinatário pretendido e destinatário efetivo, preservando evidências do dispositivo para análise. No ambiente corporativo, tokens, senhas e fatores de autenticação usados no aparelho devem ser rotacionados quando houver sinais de coleta de SMS, notificações ou teclas digitadas. Para carteiras de criptoativos, endereços de destino devem ser verificados por canal independente e dispositivos móveis comprometidos não devem ser reutilizados para assinar transações até limpeza ou reinstalação confiável do sistema.
Como Mirax, Oblivion e SURXRAT são ofertados em modelos comerciais, a expectativa defensiva deve ser de variação rápida de amostras, nomes de pacote e infraestrutura. Controles baseados apenas em hash terão cobertura limitada. A mitigação mais robusta combina política de instalação, telemetria de permissões, análise de comportamento, educação contra páginas falsas de loja e resposta financeira com processos claros para contestação e bloqueio. Em frotas gerenciadas, o inventário de permissões deve ser revisado continuamente, e qualquer aplicativo com capacidade de automação da interface precisa ter dono, finalidade, origem e versão documentados.
- Bloquear instalação de APKs por fontes desconhecidas e restringir lojas não autorizadas em dispositivos gerenciados.
- Revogar acessibilidade, MediaProjection, leitura de SMS, notificações e área de transferência de aplicativos sem necessidade comprovada.
- Remover aplicativos suspeitos, preservar evidências relevantes e reinstalar o sistema quando houver indício de RAT persistente ou controle remoto oculto.
- Rotacionar senhas, sessões, tokens e fatores associados ao dispositivo quando houver coleta de teclas, SMS, notificações ou PINs.
- Correlacionar reclamações de fraude Pix e criptoativos com telemetria do endpoint móvel, em vez de tratar o evento apenas como erro operacional.
- Manter alertas para sobreposições durante aplicativos financeiros, comunicação Firebase anômala, WebSocket persistente e consumo incompatível com o perfil do aparelho.
0 Comentários