2026-03-wave-android-bancaria-brasil

# Wave Android Bancária Brasil - 6 Famílias de Malware - 2026 > [!abstract] Resumo > Em março de 2026, equipes de threat intelligence da Apura e ZenoX documentaram uma onda coordenada de 6 famílias de malware Android - [[GoPIX-v3]], [[PixGrabber]], [[BrasDex-v2]], [[NuStealer]], [[CaixaDropper]] e [[OpenBankHook]] - em campanha ativa direcionada ao sistema bancário brasileiro via PIX e Open Banking. Estimativa de 2,3 milhões de dispositivos Android expostos. **Data:** Março de 2026 | **Categoria:** Financial Crime --- ## O que aconteceu Em março de 2026, pesquisadores da Apura Cyber Intelligence e ZenoX identificaram e documentaram uma onda sem precedentes de malware Android direcionada ao sistema financeiro brasileiro, rastreada como [[wave-android-bancaria-2026]]. A campanha envolve 6 famílias de malware distintas - indicando múltiplos grupos de cibercrime operando simultaneamente - e se distingue pela exploração coordenada do **PIX** e do **Open Banking**, as infraestruturas financeiras digitais mais críticas do Brasil. As seis famílias documentadas são: - **[[GoPIX-v3]]** - evolução do GoPIX original; intercepta transações PIX via clipper e screen overlay - **[[PixGrabber]]** - nova família; foca exclusivamente em QR codes PIX, substituindo chaves em tempo real - **[[BrasDex-v2]]** - reescrita do BrasDex; adiciona suporte a Open Banking e coleta de tokens OAuth - **[[NuStealer]]** - específico para usuários Nubank e fintechs; extrai credenciais via fake overlay - **[[CaixaDropper]]** - dropper que se passa por app da Caixa Econômica Federal; instala payload secundário - **[[OpenBankHook]]** - primeira família documentada a explorar APIs de Open Banking; intercepta redirecionamentos OAuth O vetor de distribuição primário é [[t1566-phishing|phishing]] via WhatsApp e SMS (smishing), com mensagens sobre comprovantes de transferência pendentes, bloqueio de conta, atualização de segurança obrigatória e cashback de programas de fidelidade. Os aplicativos maliciosos são distribuídos via APKs fora da Play Store e, em alguns casos, por contas comprometidas na própria lojá oficial. A estimativa de 2,3 milhões de dispositivos Android expostos baseia-se na contagem de instalações confirmadas dos droppers e na análise de infraestrutura de C2, embora o número real de comprometimentos ativos sejá estimado em 180.000 a 340.000 dispositivos. O Banco Central do Brasil emitiu nota e o CERT.br publicou alertas coordenados. A Febraban (Federação Brasileira de Bancos) ativou protocolo de resposta colaborativa entre as principais instituições financeiras para bloqueio de contas mula identificadas. --- ## Atores e Ferramentas - **Threat Actor:** [[Cibercrime Financeiro Brasileiro]] (múltiplos grupos) - **Campanha:** [[wave-android-bancaria-2026]] - **Malware:** [[GoPIX-v3]], [[PixGrabber]], [[BrasDex-v2]], [[NuStealer]], [[CaixaDropper]], [[OpenBankHook]] - **Plataforma:** Android (APK fora da Play Store + lojá oficial) - **Alvos:** Usuários bancários brasileiros - foco em PIX e Open Banking - **Técnicas MITRE:** [[t1566-phishing|T1566 - Phishing]], [[t1417-input-capture|T1417 - Input Capture]], [[t1628-hide-artifacts|T1628 - Hide Artifacts]], [[t1626-abuse-elevation-control|T1626 - Abuse Elevation Control]] - **Vetores:** WhatsApp (smishing), SMS, APK sideloading, Play Store (contas comprometidas) --- ## Impacto A onda representa a convergência mais ampla já documentada de cibercrime financeiro direcionado ao Brasil em um único período. O PIX processou R$ 17 trilhões em 2025 e tornou-se o sistema de pagamentos mais utilizado do país, tornando-o o alvo natural mais crítico para malware financeiro. A adição de suporte a **Open Banking** pelas famílias mais recentes ([[BrasDex-v2]], [[OpenBankHook]]) representa uma evolução significativa: ao comprometer tokens de Open Banking, os atores ganham acesso federado a múltiplas contas bancárias do mesmo usuário em diferentes instituições - amplificando exponencialmente o dano potencial por vítima. A coordenação observada - seis famílias diferentes com infraestrutura parcialmente compartilhada - sugere um ecossistema de cibercrime financeiro brasileiro mais estruturado, possívelmente com um "fornecedor" de infraestrutura central (MaaS - Malware as a Service) servindo múltiplos grupos operacionais. --- ## Notas Relacionadas - [[wave-android-bancaria-2026]] - campanha detalhada - [[GoPIX-v3]] - perfil do malware (evolução do GoPIX) - [[BrasDex-v2]] - perfil do malware (nova versão com Open Banking) - [[venon-banking-campaign-2026]] - VENON (trojan bancário Rust - Windows) - contexto da onda 2026 - [[2026-01-venon-banking-trojan]] - evento VENON (janeiro 2026) - [[s0531-grandoreiro]] - trojan bancário brasileiro de geração anterior - [[financial|setor financeiro]] - setor alvo - [[t1417-input-capture|T1417 - Input Capture]] - técnica central de coleta de dados bancários - [[t1566-phishing|T1566 - Phishing]] - vetor de distribuição principal