Especialistas em cibersegurança acenderam o alerta para uma nova fase de um malware nacional capaz de desviar dinheiro sem que o usuário perceba. Batizado de GoPix, o trojan bancário ganhou versões mais avançadas e passou a utilizar estratégias inéditas para fraudar transações como Pix, boletos e até criptomoedas.
De acordo com análise da Kaspersky, a ameaça tem se espalhado por meio de anúncios falsos exibidos no Google. Ao clicar nesses links, usuários podem ser levados a páginas fraudulentas que iniciam o processo de infecção. O golpe ocorre de forma silenciosa: a vítima acredita estar realizando um pagamento legítimo, mas os valores podem ser redirecionados para contas controladas por criminosos.
Embora tenha ficado conhecido por alterar chaves Pix, o GoPix ampliou seu alcance. O malware também interfere em pagamentos via boletos e movimentações com criptomoedas, tornando o esquema mais abrangente.
Segundo Fabio Marenghi, pesquisador líder de segurança da Kaspersky, há evidências concretas do impacto financeiro causado. “Já no caso de roubo de criptomoedas, a natureza pública do blockchain nos permite confirmar que a carteira controlada pelo criminoso já recebeu mais de R$100 mil”.
Ele ressalta, porém, que esse valor não reflete todo o prejuízo. “representa apenas uma pequena fração do prejuízo total visto que esse não é o ataque principal do GoPix”, já que fraudes com Pix e boletos dependem de informações internas de instituições financeiras.
O principal caminho de infecção envolve campanhas patrocinadas em buscadores. Criminosos compram anúncios e imitam páginas de serviços populares, como WhatsApp, Google Chrome e Correios.
“As campanhas utilizam diferentes iscas para atrair as vítimas, incluindo falsas notificações de rastreio dos Correios, atualizações falsas do WhatsApp e do Google Chrome”, explica Marenghi.
Após o clique, o usuário pode ser direcionado a um site falso que analisa o perfil da vítima antes de liberar o arquivo malicioso. Caso o alvo não seja considerado interessante, a página pode aparentar normalidade — o que dificulta a identificação do golpe.
O GoPix representa um salto técnico entre os trojans bancários brasileiros. De acordo com a Kaspersky, o método utilizado ainda não havia sido documentado.
“A técnica que o malware utiliza para realizar a fraude é única e nunca foi documentada anteriormente, o que dificulta a detecção pelos sistemas de segurança”, afirma Marenghi.
Outro fator que complica a identificação é o modo de operação: o malware atua diretamente na memória do sistema, sem depender de arquivos instalados no dispositivo. Isso reduz vestígios e limita a eficácia de antivírus tradicionais.
Além disso, o escopo foi ampliado. “passou a incluir também monitoramento de boletos, ampliando ainda mais seu alcance e impacto.”
Diferente de golpes mais simples, o GoPix interfere no momento em que a operação financeira está sendo realizada. Uma das técnicas utilizadas é o chamado ataque “man-in-the-middle”, que permite interceptar sessões bancárias em tempo real.
“Na técnica man-in-the-middle, temos evidências concretas de fraudes ativas, nas quais o malware intercepta sessões bancárias legítimas da vítima em tempo real”, detalha Marenghi.
No caso de Pix e boletos, há uma diferença importante. “No caso de Pix e boletos, o GoPix realiza o monitoramento das transações, não a substituição dos dados.”
Isso significa que o usuário acessa normalmente o site do banco, com todos os sinais de segurança aparentes, enquanto o golpe ocorre nos bastidores, podendo alterar informações antes da finalização.
Já nas transações com criptomoedas, o comportamento muda: os endereços das carteiras podem ser substituídos silenciosamente na área de transferência. “A carteira identificada do criminoso já recebeu mais de R$100 mil em transações oriundas de vítimas que tiveram seus endereços de carteira substituídos silenciosamente pela área de transferência do sistema.”
O perigo do GoPix está na combinação de fatores: atuação em tempo real, baixa visibilidade e uso simultâneo de múltiplas técnicas. Isso aumenta significativamente a taxa de sucesso das fraudes.
“O monitoramento é contínuo e seguimos investigando novas campanhas com temas distintos, o que indica que os criminosos adaptam constantemente suas táticas para ampliar o alcance das infecções.”
Esse cenário revela uma mudança no perfil dos ataques no Brasil, que deixam de ser apenas oportunistas e passam a operar de forma mais planejada e direcionada.
Para reduzir os riscos, especialistas recomendam atenção redobrada ao baixar programas. Evitar clicar em anúncios patrocinados é uma das principais orientações — mesmo quando eles parecem confiáveis.
Outra medida importante é acessar diretamente os sites oficiais digitando o endereço no navegador, em vez de confiar nos primeiros resultados das buscas.
Também é essencial revisar cuidadosamente os dados antes de confirmar pagamentos, especialmente em Pix, boletos e criptomoedas.
Manter o sistema operacional e os navegadores atualizados é outra prática fundamental, já que atualizações corrigem vulnerabilidades exploradas por esse tipo de ameaça.
