Um exemplo claro é a família batizada como PixRevolution, analisada por Zimperium. Este malware tem se centrado no Brasil e seu objetivo principal é a plataforma de pagamentos instantâneos Pix. Em vez de limitar-se a roubar credenciais, espera o momento exato em que a vítima inicia uma transferência, captura o ecrã e substitui a “chave Pix” do beneficiário pela do atacante, tudo enquanto mostra uma tela de carga falsa para que a vítima não suspeite. Dado que as transferências via Pix são instantâneas e definitivas, a recuperação do dinheiro é geralmente extremamente complicada. Mais detalhes técnicos podem ser consultados no relatório do Zimperium e na documentação oficial sobre o Pix do Banco Central do Brasil: Zimperium — PixRevolution e Banco Central do Brasil — Pix.
Outra família preocupante detectada no Brasil é BeatBanker. Os pesquisadores da Kaspersky mostram que sua distribuição é apoiada em páginas que imitam a loja de aplicativos para enganar as vítimas. BeatBanker combina várias capacidades: um componente mineiro de criptomoedas, um módulo bancário com overlays que substituem endereços de destino em transferências (por exemplo, USDT) e mecanismos pouco ortodoxos para se manter ativo no sistema. Surpreende seu truque de persistência: reproduz um arquivo de áudio quase inaudível em ciclo para dificultar que o sistema operacional mate seu processo. A análise da Kaspersky descreve estes comportamentos e as defesas que usa a amostra: Kaspersky — BeatBanker.
Na mesma linha de ameaças híbridas aparece TaxiSpy RAT, que combina a usurpação de interfaces (overlays) com monitorização completa do dispositivo. Esta família abusa dos serviços de acessibilidade e da API de captura de tela para coletar mensagens SMS, registros de chamadas, contatos, conteúdo da área de transferência, padrões de bloqueio e até pulsações de teclas. Além disso, incorpora técnicas de evasão, criptografia de livrarias nativas e controle remoto tipo VNC sobre WebSocket. Relatórios de CYFIRMA e outras assinaturas recolhem amostras e sinais de que os autores buscam fugir assinaturas e listas pretas: CYFIRMA — TaxiSpy e Zimperium — IOCs TaxiSpy.
Além de famílias particulares, o ecossistema criminoso é organizado comercialmente. Existem produtos oferecidos sob a forma de assinatura ou de pagamento único e colocam essas capacidades ao alcance de compradores com poucos conhecimentos técnicos. Mirax, por exemplo, foi promovido como um serviço privado com overlays bancários, registo de pulsações e proxy SOCKS5, a preços divulgados em fóruns. Outro caso recente é Oblivion, um RAT que é vendido com a promessa de sortear proteções de fabricantes de telemóveis e automatizar a concessão de licenças em camadas de Android personalizadas (Samsung, Xiaomi, OPPO, etc.). Esses desenvolvimentos foram detectados e comentados por analistas e por publicações que seguem a venda dessas ameaças: publicação do Mirax e Análise de Oblivion por Certo.
Um vetor comercial adicional é o SURXRAT, distribuído através de canais no Telegram e considerado uma evolução de famílias prévias. SURXRAT faz uso de permissões de acessibilidade e infraestrutura baseada em Firebase para comunicação com seus operadores. O mais preocupante: alguns exemplares descarregam um módulo de modelo de linguagem grande (LLM) em condições muito concretas - por exemplo, quando detectam que a vítima tem determinados jogos instalados - e também incluem módulos tipo “locker” que bloqueiam o ecrã pedindo resgate. O relatório do Cyble examina estas capacidades emergentes e sugere que os atacantes estão a testar a integração da IA nas suas ferramentas: Cyble — SURXRAT e LLM.
Como essas ameaças chegam ao telefone? Os ataques combinam técnicas sociais e técnicas: páginas que simulam a loja oficial, APKs “dropper” para forçar a instalação fora do Google Play, pedidos de permissões de acessibilidade que facilitam o controle completo, APIs legítimas como MediaProjection para capturar tela e serviços como Firebase para receber ordens remotas. Com estes ingredientes, os atacantes podem ver o ecrã em tempo real, superpor vistas falsas para modificar a informação mostrada e executar comandos remotos.
A evolução tecnológica do malware também implica melhorias em sua engenharia para evitar análises: criptografia de bibliotecas nativas, ofuscação de cadeias, verificações de ambientes emulados, e mecanismos de persistência que dificultam sua eliminação. Pior ainda, o modelo “malware como serviço” baixa a barreira de entrada: qualquer com recursos pode alugar ou comprar essas ferramentas e lançar campanhas direcionadas.
Diante deste panorama, há medidas práticas que qualquer pessoa pode aplicar imediatamente para reduzir o risco. Não transferir aplicativos de páginas ou links suspeitos; preferir sempre a loja oficial e verificar a reputação do desenvolvedor. Não conceder permissões de acessibilidade a aplicações que não o exijam expressamente e rever periodicamente quais apps têm esse privilégio. Manter o sistema operacional actualizado e as aplicações, activar as protecções do Google Play Protect e usar autenticação adicional (notificação do banco, códigos de operação, 2FA) para transacções bancárias. Se houver dúvidas sobre uma transferência, contactar imediatamente a entidade financeira: em operações instantâneas como Pix o tempo é essencial. Para mais orientação sobre as protecções do Google Play, consultar a documentação do Play Protect: Google Play Protect.
O aparecimento de componentes baseados em IA dentro de pacotes maliciosos é um aviso: os atacantes experimentam com novas formas de automatizar a interação com a vítima, adaptar ataques e fugir detecções. Isso não só implica maior sofisticação técnica, mas também a necessidade de as defesas e a regulação avançarem ao mesmo ritmo. Entretanto, a melhor vacina continua a ser a prudência do usuário e uma resposta rápida a qualquer sinal de atividade suspeita.
Se você acha que o seu dispositivo foi comprometido, desconéctalo de redes, mude senhas de outro equipamento seguro e contacte o seu banco para bloquear operações. Reportar o incidente às autoridades locais e aos serviços de segurança ajuda a traçar e travar essas campanhas. A ameaça cresce e se profissionaliza, mas com prevenção e reação rápida pode ser minimizada o dano.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...