Um novo malware (um tipo de vírus), que se instala em celulares Android, tem atacado clientes dos principais bancos brasileiros, como Bradesco, Caixa, Itaú e Nubank — e até a corretora de criptoativos Binance. Ele intercepta transferências via Pix feitas pelos aplicativos das instituições financeiras e altera quem vai receber o dinheiro e até o valor enviado.

O BrasDex foi descoberto pela empresa de cibersegurança Threat Fabric em dezembro, quando já havia atacado mais de mil pessoas, gerando prejuízos de centenas de milhares de reais (o valor exato não foi revelado). O malware não explora nenhuma falha do Pix ou dos aplicativos das empresas em si, mas sim erros do próprio usuário — que autoriza a instalação do vírus voluntariamente e dá total acesso ao aparelho —, além de brechas de segurança do sistema operacional Android.

Em um vídeo que viralizou nas redes sociais, um cliente do Nubank mostra a tentativa de golpe em tempo real: ele filma a tela do celular da irmã, enquanto ela vai fazer um Pix de R$ 1 para a mãe pelo aplicativo do banco. O pedido de senha — necessário para concluir a transferência — demora mais que o normal, e quem grava o vídeo mostra alterações na tela do celular e diz que o aparelho treme.

Isso acontece porque, por trás da tela, o BrasDex está mudando o valor da transação e o destinatário. Se a pessoa digitasse a senha, ela teria transferido mais de R$ 600 (quase todo o saldo disponível na conta) para uma pessoa desconhecida, concretizando o golpe (veja o vídeo no link).

Bancos alvo do BrasDex

“Os bancos não são culpados, os bancos são vitimas”, afirma Marcus Bispo, diretor de resiliência cibernética para a América Latina da Accenture. “O BrasDex é focado em instituições financeiras brasileiras. Ele checa o cartão SIM do celular e, se não for do Brasil, para de funcionar. Se for brasileiro, ele procura os aplicativos dos maiores bancos e começa a explorar vulnerabilidades de privilegio de acessibilidade”.

Bispo explica que o malware fica “adormecido” no celular infectado, esperando a vítima abrir o aplicativo de algum banco. Quando isso ocorre, automaticamente o BrasDex lê as informações do app, como saldo e número da conta, e aguarda por uma transferência. Se a pessoa for fazer um Pix, o vírus entra em ação e coloca uma tela por cima do app do banco, muito parecida com a verdadeira, enquanto altera os dados da transação. Se a pessoa digitar a sua senha para concluir o Pix, o dinheiro irá direto para o golpista.

O vídeo que viralizou nas redes sociais é de um cliente do Nubank, e no anúncio da descoberta do vírus a Threat Fabric usa imagens do aplicativo do Bradesco, mas a falha não está nas instituições financeiras, mas sim na conduta do usuário. O malware, na verdade, abusa de permissões concedidas pelo usuário após a instalação de apps maliciosos.

*Matéria completa em Infomoney.com