Pesquisadores de cibersegurança identificaram seis novas famílias de malware para Android com capacidade para roubar dados e realizar fraudes financeiras.
Essas ameaças variam de trojans bancários tradicionais — como PixRevolution, TaxiSpy RAT, BeatBanker, Mirax e Oblivion RAT — a ferramentas completas de administração remota, como o SURXRAT.
O PixRevolution, segundo a Zimperium, foca no sistema de pagamentos instantâneos Pix, usado no Brasil, interceptando transferências em tempo real para desviar os valores para contas controladas pelos criminosos.
“Este malware age de forma furtiva até o momento em que a vítima inicia uma transferência Pix.
O diferencial está no operador, humano ou IA, que acompanha a tela remotamente e atua no instante exato da transação”, explicou o pesquisador Aazim Yaswant.
A disseminação ocorre por meio de páginas falsas que imitam a Google Play Store, oferecendo aplicativos como Expedia, Sicredi e Correios que, ao serem instalados, solicitam permissões de acessibilidade para cumprir seus objetivos maliciosos.
O malware também se conecta a servidores externos pela porta TCP 9000, enviando sinais periódicos e ativando a captura de tela em tempo real via MediaProjection API do Android.
Na prática, o PixRevolution monitora a tela da vítima e exibe uma sobreposição falsa ao inserir o valor e a chave Pix do destinatário.
Durante a transferência, substitui discretamente a chave por outra vinculada aos criminosos, enquanto mostra uma tela de “Aguarde...” e depois confirma o sucesso da operação no aplicativo, iludindo o usuário.
Como as transferências Pix são instantâneas e irreversíveis, a recuperação dos valores se torna quase impossível.
Outro malware direcionado a brasileiros é o BeatBanker, que se espalha principalmente por ataques de phishing com sites falsos da Google Play Store.
Seu nome vem de um método incomum de persistência: executa em loop um áudio quase inaudível — uma gravação de cinco segundos em chinês — para impedir a interrupção do processo.
O BeatBanker verifica se está em ambiente de análise, monitora temperatura e nível da bateria e controla mineradores de criptomoedas, além de usar o Firebase Cloud Messaging para comunicação com seu comando e controle (C2).
“Os APKs maliciosos incluem minerador de criptomoedas e trojan bancário capaz de sequestrar o dispositivo e criar telas falsas para roubo de credenciais”, afirmou a Kaspersky.
Ao tentar uma transação em USDT, o malware insere páginas falsas para Binance e Trust Wallet, trocando o endereço do destinatário pelo dos atacantes.
Além disso, monitora navegadores populares como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser e sBrowser para capturar URLs acessadas, podendo receber uma extensa lista de comandos que ampliam seu controle e a coleta de dados pessoais.
Versões recentes da campanha estão substituindo o módulo bancário pelo BTMOB RAT, que oferece controle remoto completo e persistência, relacionado a grupos sírios de ameaças conhecidos como EVLF.
O TaxiSpy RAT, similar ao PixRevolution, também explora serviços de acessibilidade e APIs de captura para coletar SMS, contatos, registros de chamadas, conteúdo da área de transferência, lista de apps instalados, notificações, PIN da tela bloqueada e teclas digitadas.
Focado em apps bancários russos, criptomoedas e governamentais, atua por meio de sobreposições para roubo de credenciais, combinando funcionalidades de trojan bancário e RAT.
Esse malware utiliza técnicas avançadas para evitar detecção, incluindo criptografia de bibliotecas nativas, ofuscação dinâmica de strings e controle remoto em tempo real via WebSocket.
Outro trojan de destaque é o Mirax, comercializado pelo grupo “Mirax Bot” como malware-as-a-service (MaaS), com planos mensais a partir de US$ 1.750.
O serviço oferece sobreposições bancárias, captura de informações como teclas digitadas e SMS, além de proxy SOCKS5 para redirecionamento do tráfego malicioso.
No mercado também surge o Oblivion, um trojan de acesso remoto para Android vendido por cerca de US$ 300 mensais, que promete burlar mecanismos de segurança em dispositivos das principais marcas, como Xiaomi, Samsung, OPPO, Honor e OnePlus.
Utiliza um sistema automatizado para conceder permissões sem interação do usuário, combinando controle remoto oculto, persistência profunda e interface intuitiva para hackers com pouca experiência técnica.
O SURXRAT é outra família comercializada via canais do Telegram, identificada como evolução do Arsink.
Explora permissões de acessibilidade para controle persistente e opera com infraestrutura de comando e controle hospedada no Firebase.
Curiosamente, algumas variantes incorporam módulos de bloqueio de tela similares a ransomware, permitindo que um operador remoto impeça o acesso da vítima até que o pagamento seja efetuado.
Uma característica inédita em amostras recentes é a integração de componentes baseados em large language models (LLM), indicando experimentação com inteligência artificial para ampliar funcionalidades de vigilância e controle.
O download desse módulo ocorre apenas quando apps específicos — como os jogos Free Fire MAX e Jujutsu Kaisen — estão ativos ou mediante comando do servidor.
Essas evoluções mostram como frameworks tradicionais de RAT continuam sendo adaptados e expandidos, acelerando o ciclo de desenvolvimento de malwares e incorporando novas funcionalidades para aumentar eficácia e evasão.
A experimentação com IA reforça o esforço dos criminosos para se manterem à frente das defesas e aprimorar a sofisticação das ameaças.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...