Um novo malware (um tipo de vírus), que se instala em celulares Android, tem atacado clientes dos principais bancos brasileiros, como Bradesco, Caixa, Itaú e Nubank — e até a corretora de criptoativos Binance. Ele intercepta transferências via Pix feitas pelos aplicativos das instituições financeiras e altera quem vai receber o dinheiro e até o valor enviado.

O BrasDex foi descoberto pela empresa de cibersegurança Threat Fabric em dezembro, quando já havia atacado mais de mil pessoas, gerando prejuízos de centenas de milhares de reais (o valor exato não foi revelado). O malware não explora nenhuma falha do Pix ou dos aplicativos das empresas em si, mas sim erros do próprio usuário — que autoriza a instalação do vírus voluntariamente e dá total acesso ao aparelho —, além de brechas de segurança do sistema operacional Android.

Em um vídeo que viralizou nas redes sociais, um cliente do Nubank mostra a tentativa de golpe em tempo real: ele filma a tela do celular da irmã, enquanto ela vai fazer um Pix de R$ 1 para a mãe pelo aplicativo do banco. O pedido de senha — necessário para concluir a transferência — demora mais que o normal, e quem grava o vídeo mostra alterações na tela do celular e diz que o aparelho treme.

Isso acontece porque, por trás da tela, o BrasDex está mudando o valor da transação e o destinatário. Se a pessoa digitasse a senha, ela teria transferido mais de R$ 600 (quase todo o saldo disponível na conta) para uma pessoa desconhecida, concretizando o golpe

“Os bancos não são culpados, os bancos são vitimas”, afirma Marcus Bispo, diretor de resiliência cibernética para a América Latina da Accenture. “O BrasDex é focado em instituições financeiras brasileiras. Ele checa o cartão SIM do celular e, se não for do Brasil, para de funcionar. Se for brasileiro, ele procura os aplicativos dos maiores bancos e começa a explorar vulnerabilidades de privilegio de acessibilidade”.

Bispo explica que o malware fica “adormecido” no celular infectado, esperando a vítima abrir o aplicativo de algum banco. Quando isso ocorre, automaticamente o BrasDex lê as informações do app, como saldo e número da conta, e aguarda por uma transferência. Se a pessoa for fazer um Pix, o vírus entra em ação e coloca uma tela por cima do app do banco, muito parecida com a verdadeira, enquanto altera os dados da transação. Se a pessoa digitar a sua senha para concluir o Pix, o dinheiro irá direto para o golpista.

O vídeo que viralizou nas redes sociais é de um cliente do Nubank, e no anúncio da descoberta do vírus a Threat Fabric usa imagens do aplicativo do Bradesco, mas a falha não está nas instituições financeiras, mas sim na conduta do usuário. O malware, na verdade, abusa de permissões concedidas pelo usuário após a instalação de apps maliciosos (veja mais abaixo).

Segundo a empresa de cibersegurança, o malware (que significa “malicious software”, ou software malicioso em tradução livre) pode interceptar transferências dos seguintes bancos:

1. Banco do Brasil (BBAS3)


2. Banco Original


3. Binance


4. Bradesco (BBDC4)


5. Caixa Econômica Federal


6. Inter (INBR32)


7. Itaú (ITUB4)


8. Nubank (NUBR33)


9. PicPay (JHSF3)


10. Santander Brasil (SANB11)

O InfoMoney procurou a maioria das instituições acima. O Bradesco e o Santander não responderam aos questionamentos enviados, e o Nubank apenas mandou um link do seu blog, com informações genéricas sobre como funcionam malwares (não há qualquer menção ao BrasDex, por exemplo).

Banco do Brasil, Caixa, Inter e Itaú enviaram respostas em que descrevem o que estão fazendo para combater fraudes contra clientes e destacam a importância de o usuário não cair em golpes. O BB foi o único que citou nominalmente o vírus, mas afirmou que “até o momento não temos registros de problemas com clientes causados pelo malware BrasDex”

“Olhando sob o ponto de vista de prevenção à fraude, a pessoa [que fez o Pix] estava em uma geolocalização conhecida. Ela reconheceu a transação e colocou a senha. Tudo o que o banco poderia observar, do ponto de vista do usuário, ele fez”, afirma Fernando Guariento, líder de professional services da AllowMe (startup que é uma plataforma de prevenção à fraude), sobre o papel das instituições em tentar combater o golpe.

Falhas do usuário

O BrasDex explora duas falhas do usuário, afirma Guariento. Bispo, da Accenture, também destaca problemas de segurança do sistema operacional Android, que é da Alphabet — dona do Google (GOGL34). Não há relatos, até o momento, do vírus no sistema iOS, da Apple (AAPL34).

“São duas falhas do usuário: baixar um aplicativo fora da loja e dar consentimento total e acesso irrestrito ao celular”, afirma Fernando Guariento, da AllowMe. “A infecção acontece porque a pessoa baixou algum aplicativo que não estava na app store. Ela pode ter baixado por um link no WhatsApp, por um SMS ou um link mesmo, que ela clicou”.

Guariento diz que muitas vezes as pessoas caem em golpes e baixam o aplicativo acreditando que vão ter um ganho financeiro (um exemplo são aquelas mensagens enviadas por SMS ou no WhatsApp que prometem muito dinheiro trabalhando pouco, sem sair de casa). “É sempre um discurso de ganho rápido e fácil”.

O especialista diz que, além de a vítima baixar o aplicativo infectado (que vai instalar o BrasDex no celular), ela também dá autorização para o malware fazer absolutamente tudo no aparelho. Apesar disso, o vírus fica “adormecido”, esperando uma transação, porque o seu único propósito é desviar as transferências. Ele então precisa de mais uma “cooperação” da vítima: ela acessar o app do banco com a biometria e confirmar a transação com a senha, por exemplo.

“Os celulares têm proteções que mesmo o consentimento total não dão acesso, Mesmo com o consentimento total do usuário, por exemplo, eu não consigo acessar a área reservada do celular onde fica a biometria. É um cofre virtual onde as informações estão guardadas. Nem o banco consegue acessar isso”, afirma Guariento, sobre a necessidade de o golpe precisar da “ajuda” do usuário. “A senha do banco também fica em uma área restrita”.

Sobre o aplicativo pedir acesso irrestrito ao aparelho, o especialista da AllowMe faz uma analogia com a vida real. “Ele pede acesso completo ao celular. É como se uma pessoa batesse na porta da sua casa e pedisse pra entrar, pegar sua chave e pegar as suas senhas do banco, argumentando que ‘só precisa disso para você ganhar dinheiro fácil’. Muitas vezes a pessoa não para para pensar no que está fazendo”.

Por que o Pix?

Segundo os especialistas, o vírus explora o Pix pela sua velocidade de transação e porque não é possível desfazer uma transferência. Além disso, até a vítima perceber que caiu em um golpe e avisar o banco — e a instituição tentar recuperar o dinheiro —, o valor já vai ter sido transferido da conta “laranja” para outras contas, praticamente inviabilizando o seu rastreio.

O diretor de resiliência cibernética para a América Latina da Accenture diz que é por isso que a primeira coisa que o BrasDex faz é checar o cartão SIM do celular, para saber se ele é do Brasil. “Se não for do Brasil, para de funcionar. Se for brasileiro, ele procura os aplicativos dos maiores bancos e começa a explorar vulnerabilidades de privilegio de acessibilidade”.

Segundo a Threat Fabric, o “BrasDex é uma família de malware estritamente focada no mercado brasileiro” e “contém verificações para garantir que ele só opera em dispositivos do Brasil”. “Essa dedicação total e árdua a um único mercado pode ser motivada pelo fato de o BrasDex usar seus recursos para abusar de um subconjunto específico de transações dentro do ecossistema bancário brasileiro. A BrasDex abusa especificamente do sistema de pagamento Pix”.

A empresa de cibersegurança ressalta que o sistema de pagamentos instantâneos do Banco Central brasileiro não é vulnerável. “Os atacantes não estão explorando nenhuma vulnerabilidade do sistema Pix, mas sim abusando do sistema de pagamentos rápidos e problemas conhecidos do Android para fazer transferências fraudulentas”.

“O surgimento de sistemas de pagamento convenientes não apenas torna os pagamentos mais fáceis para os clientes, mas também abre uma oportunidade para os cibercriminosos usá-los para operações fraudulentas”, afirma a Threat Fabric. O caso da BrasDex mostra a necessidade de mecanismos de detecção e prevenção de fraudes nos dispositivos dos clientes”.

Guariento, da AllowMe, diz que outro fator é o tempo que as instituições financeiras têm para checar as informações antes de confirmar uma transação via Pix. “É o celular da pessoa, o consentimento da pessoa, a localização habitual da pessoa… Tudo que ela geralmente faz antes de uma transação. É muito difícil para o banco para identificar esse tipo de fraude”, diz o especialista.

“Uma TED ou DOC poderia parar em uma mesa de análise de prevenção à fraude. No caso do Pix não dá, porque a transação tem de ser rápida por regulamentação. Tem uma chance menor de a transação ser barrada”, afirma Guariente.

FONTE: Iformoney