Trojan bancário brasileiro desvia Pix sem você perceber; saiba se proteger

No índice abaixo, confira os tópicos que serão abordados nesta matéria do TechTudo.

• O que é o ataque que troca sua chave Pix
• Como você pode acabar sendo a próxima vítima
• A evolução do malware no Brasil
• Como o golpe funciona na prática
• Por que essa ameaça é mais perigosa
• Como se proteger

O que é o ataque que troca sua chave Pix

O GoPix é um trojan bancário desenvolvido no Brasil com foco em desviar pagamentos digitais sem que a vítima perceba. Segundo a Kaspersky, a nova versão representa um salto técnico em relação a ameaças anteriores. Apesar de ter ficado conhecido por “trocar a chave Pix”, o alcance do ataque é maior. O malware também atua sobre boletos bancários e carteiras de criptomoedas, ampliando o impacto das fraudes.

Esse tipo de ameaça chama atenção porque mira diretamente um comportamento comum: copiar e colar dados para realizar pagamentos. Ao explorar uma ação rotineira, o golpe reduz a desconfiança e aumenta as chances de sucesso sem exigir conhecimento técnico da vítima. Há evidências concretas de prejuízo, principalmente no ecossistema cripto.

“Já no caso de roubo de criptomoedas, a natureza pública do blockchain nos permite confirmar que a carteira controlada pelo criminoso já recebeu mais de R$100 mil”, afirma Fabio Marenghi, pesquisador líder de segurança da Kaspersky.

Segundo Marenghi, esse valor “representa apenas uma pequena fração do prejuízo total visto que esse não é o ataque principal do GoPix“, uma vez que fraudes envolvendo Pix e boletos dependem de dados internos de instituições financeiras.

Como você pode acabar sendo a próxima vítima

O principal vetor de infecção explora anúncios patrocinados em buscadores. Criminosos compram espaço no Google Ads e simulam páginas de serviços populares, como WhatsApp, Google Chrome e Correios. Isso significa que até buscas simples do dia a dia — como acessar o WhatsApp Web ou rastrear uma encomenda — podem se tornar porta de entrada para o golpe, principalmente quando o usuário confia nos primeiros resultados exibidos.

“As campanhas utilizam diferentes iscas para atrair as vítimas, incluindo falsas notificações de rastreio dos Correios, atualizações falsas do WhatsApp e do Google Chrome”, explica Marenghi.

Após o clique, o usuário é levado a um site falso, que pode aplicar uma triagem antes de liberar o malware.

Se o perfil da vítima for considerado relevante, o download malicioso é exibido. Caso contrário, a página pode parecer inofensiva — o que ajuda a esconder a operação.

A evolução do malware no Brasil

O GoPix representa um novo nível de sofisticação entre trojans bancários brasileiros. Segundo a Kaspersky, a técnica usada é inédita.

“A técnica que o malware utiliza para realizar a fraude é única e nunca foi documentada anteriormente, o que dificulta a detecção pelos sistemas de segurança”, afirma Marenghi.

Além disso, houve ampliação do escopo que, segundo Marenghi, “passou a incluir também monitoramento de boletos, ampliando ainda mais seu alcance e impacto.”

Parte dessa dificuldade está no fato de o malware operar diretamente na memória do sistema, sem depender de arquivos tradicionais instalados no disco. Isso reduz rastros e dificulta a atuação de soluções de segurança convencionais.

Como o golpe funciona na prática

O GoPix combina diferentes técnicas que atuam durante a navegação da vítima. Uma delas é o ataque do tipo man-in-the-middle, que permite interceptar sessões bancárias em tempo real. “Na técnica man-in-the-middle, temos evidências concretas de fraudes ativas, nas quais o malware intercepta sessões bancárias legítimas da vítima em tempo real”, explica Marenghi.

Maranghi ressalta que um ponto importante muda a percepção do golpe na modalidade Pix e boletos. “No caso de Pix e boletos, o GoPix realiza o monitoramento das transações, não a substituição dos dados.”

Ou seja, o malware interfere no processo enquanto ele acontece, e não necessariamente na cópia das informações. O usuário acessa o site do banco normalmente, com cadeado de segurança e tudo aparentemente correto. No entanto, o trojan atua nos bastidores, podendo alterar informações antes mesmo que elas sejam enviadas à instituição financeira.

Já no caso das criptomoedas, o comportamento é diferente. “A carteira identificada do criminoso já recebeu mais de R$100 mil em transações oriundas de vítimas que tiveram seus endereços de carteira substituídos silenciosamente pela área de transferência do sistema.”

Por que essa ameaça é mais perigosa

O GoPix é uma ameaça mais perigosa por atuar em tempo real e com baixa visibilidade. Como opera na memória e manipula sessões ativas, suas ações deixam poucos rastros. Isso dificulta a detecção por antivírus e a percepção pelo usuário.

Outro fator crítico é a combinação de técnicas, que aumenta a taxa de sucesso das fraudes. O uso de campanhas adaptáveis também reforça esse cenário.

“O monitoramento é contínuo e seguimos investigando novas campanhas com temas distintos, o que indica que os criminosos adaptam constantemente suas táticas para ampliar o alcance das infecções.”

Esse tipo de abordagem indica uma mudança no perfil das ameaças no Brasil, que deixam de ser apenas oportunistas e passam a operar de forma mais estratégica, com foco em alvos específicos e técnicas combinadas para maximizar o retorno financeiro.

Segundo a Kaspersky, evitar o golpe exige atenção principalmente no download de programas. Uma recomendação é não clicar em anúncios para baixar apps, mesmo que pareçam legítimos. Prefira sempre acessar o site oficial digitando o endereço no navegador.

Também é importante conferir os dados antes de confirmar qualquer pagamento, especialmente em Pix, boletos e criptomoedas. Outro cuidado importante é evitar clicar automaticamente no primeiro resultado de buscas e sempre verificar o endereço completo do site antes de inserir qualquer dado ou baixar arquivos.

Por fim, a empresa também recomenda ações básicas, como manter o sistema operacional e o navegador sempre atualizados, já que essas atualizações corrigem falhas exploradas por malware.

Com informações de Kaspersky