Trojan bancário brasileiro desvia Pix sem você perceber; saiba se proteger

No índice abaixo, confira os tópicos que serão abordados nesta matéria do TechTudo.

O GoPix é um trojan bancário desenvolvido no Brasil com foco em desviar pagamentos digitais sem que a vítima perceba. Segundo a Kaspersky, a nova versão representa um salto técnico em relação a ameaças anteriores. Apesar de ter ficado conhecido por “trocar a chave Pix”, o alcance do ataque é maior. O malware também atua sobre boletos bancários e carteiras de criptomoedas, ampliando o impacto das fraudes.

Esse tipo de ameaça chama atenção porque mira diretamente um comportamento comum: copiar e colar dados para realizar pagamentos. Ao explorar uma ação rotineira, o golpe reduz a desconfiança e aumenta as chances de sucesso sem exigir conhecimento técnico da vítima. Há evidências concretas de prejuízo, principalmente no ecossistema cripto.

Segundo Marenghi, esse valor "representa apenas uma pequena fração do prejuízo total visto que esse não é o ataque principal do GoPix", uma vez que fraudes envolvendo Pix e boletos dependem de dados internos de instituições financeiras.

O principal vetor de infecção explora anúncios patrocinados em buscadores. Criminosos compram espaço no Google Ads e simulam páginas de serviços populares, como WhatsApp, Google Chrome e Correios. Isso significa que até buscas simples do dia a dia — como acessar o WhatsApp Web ou rastrear uma encomenda — podem se tornar porta de entrada para o golpe, principalmente quando o usuário confia nos primeiros resultados exibidos.

Após o clique, o usuário é levado a um site falso, que pode aplicar uma triagem antes de liberar o malware.

Se o perfil da vítima for considerado relevante, o download malicioso é exibido. Caso contrário, a página pode parecer inofensiva — o que ajuda a esconder a operação.

O GoPix representa um novo nível de sofisticação entre trojans bancários brasileiros. Segundo a Kaspersky, a técnica usada é inédita.

Além disso, houve ampliação do escopo que, segundo Marenghi, "passou a incluir também monitoramento de boletos, ampliando ainda mais seu alcance e impacto.”

Parte dessa dificuldade está no fato de o malware operar diretamente na memória do sistema, sem depender de arquivos tradicionais instalados no disco. Isso reduz rastros e dificulta a atuação de soluções de segurança convencionais.

O GoPix combina diferentes técnicas que atuam durante a navegação da vítima. Uma delas é o ataque do tipo man-in-the-middle, que permite interceptar sessões bancárias em tempo real. “Na técnica man-in-the-middle, temos evidências concretas de fraudes ativas, nas quais o malware intercepta sessões bancárias legítimas da vítima em tempo real”, explica Marenghi.

Maranghi ressalta que um ponto importante muda a percepção do golpe na modalidade Pix e boletos. “No caso de Pix e boletos, o GoPix realiza o monitoramento das transações, não a substituição dos dados.”

Ou seja, o malware interfere no processo enquanto ele acontece, e não necessariamente na cópia das informações. O usuário acessa o site do banco normalmente, com cadeado de segurança e tudo aparentemente correto. No entanto, o trojan atua nos bastidores, podendo alterar informações antes mesmo que elas sejam enviadas à instituição financeira.

Já no caso das criptomoedas, o comportamento é diferente. “A carteira identificada do criminoso já recebeu mais de R$100 mil em transações oriundas de vítimas que tiveram seus endereços de carteira substituídos silenciosamente pela área de transferência do sistema.”

O GoPix é uma ameaça mais perigosa por atuar em tempo real e com baixa visibilidade. Como opera na memória e manipula sessões ativas, suas ações deixam poucos rastros. Isso dificulta a detecção por antivírus e a percepção pelo usuário.

Outro fator crítico é a combinação de técnicas, que aumenta a taxa de sucesso das fraudes. O uso de campanhas adaptáveis também reforça esse cenário.

Esse tipo de abordagem indica uma mudança no perfil das ameaças no Brasil, que deixam de ser apenas oportunistas e passam a operar de forma mais estratégica, com foco em alvos específicos e técnicas combinadas para maximizar o retorno financeiro.

Segundo a Kaspersky, evitar o golpe exige atenção principalmente no download de programas. Uma recomendação é não clicar em anúncios para baixar apps, mesmo que pareçam legítimos. Prefira sempre acessar o site oficial digitando o endereço no navegador.

Também é importante conferir os dados antes de confirmar qualquer pagamento, especialmente em Pix, boletos e criptomoedas. Outro cuidado importante é evitar clicar automaticamente no primeiro resultado de buscas e sempre verificar o endereço completo do site antes de inserir qualquer dado ou baixar arquivos.

Por fim, a empresa também recomenda ações básicas, como manter o sistema operacional e o navegador sempre atualizados, já que essas atualizações corrigem falhas exploradas por malware.

Com informações de Kaspersky