# PixPiraté > Trojan bancario Android com ATS (Automated Transfer System) e arquitetura dropper/droppee exclusiva. Descoberto pela Cleafy em 2023 e aprofundado pela IBM Security Trusteer, automatiza transferencias PIX fraudulentas diretamente no dispositivo - invisivel para a vitima. ## Visão Geral **PixPiraté** e um trojan bancario Android de origem brasileira focado exclusivamente no ecossistema [[financial|PIX]]. Descoberto pela [[cleafy|Cleafy]] em fevereiro de 2023 e posteriormente analisado pela IBM Security Trusteer, o malware usa um **ATS (Automated Transfer System)** para automatizar transferencias PIX fraudulentas sem interação humana do operador. A principal inovacao e a arquitetura **dropper/droppee**: dois APKs distintos trabalham em conjunto. O droppee oculta seu icone e continua ativo mesmo após a desinstalacao do dropper - técnica inedita documentada pela IBM em 2024. | Campo | Detalhe | |-------|---------| | Plataforma | Android | | Tipo | Banking Trojan - ATS + RAT | | Descoberta | Fevereiro 2023 (Cleafy) | | Enriquecimento | IBM Security Trusteer (2023-2024) | | Status | Ativo - variantes circulando até 2024 | | Principal alvo | Sistema PIX - bancos brasileiros | ## Como Funciona ### Arquitetura Dropper/Droppee A infecção usa dois APKs em sequencia coordenada: 1. **Dropper** - distribuido via phishing, sites falsos ou WhatsApp; instala o droppee silenciosamente 2. **Droppee** - RAT principal; oculta icone via `T1508` e opera autonomamente mesmo após remoção do dropper O droppee mantém execução em background usando **Accessibility Services**, persistindo sem artefatos visiveis para o usuario. ### ATS - Automated Transfer System O mecanismo central automatiza transações PIX fraudulentas via UI injection: - `SendPageNode(1)` - navega para a pagina PIX no app bancario alvo - `sendBalance()` - detecta saldo disponível da conta - `inputPix()` - insere chave PIX e valor controlados pelo atacante - `continue2Password()` - insere credenciais capturadas via keylog - `waitUntilPassword()` - confirma a transferencia automaticamente O ATS usa eventos `TYPE_WINDOW_STATE_CHANGED` da Accessibility API para detectar apps bancarios ativos e executar fraudes invisiveis em fracoes de segundo. ### Evasão e Persistência - **Anti-VM/Anti-debug** - nao executa em ambientes de análise automatizada - **Supressao de icone** (`T1508`) - droppee sem icone no launcher do Android - **Google Play Protect desabilitado** - suprime proteção nativa durante fraude - **Framework Auto.js** - ofusca e encripta o código-fonte - **Auto-remoção pos-fraude** - elimina rastros após transferencia bem-sucedida - **WhatsApp spreading** - variantes 2024 se propagam via links maliciosos no WhatsApp ## Attack Flow ```mermaid graph TB A["📱 Distribuição<br/>Phishing SMS ou WhatsApp<br/>Apps falsos em sites de phishing"] --> B["💾 Dropper APK<br/>Instala droppee RAT<br/>Framework Auto.js"] B --> C["🔧 Droppee Oculto<br/>Icone suprimido T1508<br/>Accessibility Services ativas"] C --> D["🔑 Keylogging e Captura<br/>Input capture T1417<br/>App discovery T1418"] D --> E["💰 ATS Fraude PIX<br/>Input injection T1516<br/>Transferencia automatizada"] E --> F["📤 Exfiltração e Limpeza<br/>Dados ao C2<br/>Auto-remoção pos-fraude"] classDef delivery fill:#c0392b,color:#fff classDef install fill:#2980b9,color:#fff classDef persist fill:#8e44ad,color:#fff classDef collect fill:#e67e22,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B install class C persist class D collect class E,F impact ``` ## Timeline ```mermaid timeline title PixPiraté - Evolução 2022-2024 2022-12 : Primeiras campanhas identificadas : Foco inicial no sistema PIX 2023-02 : Cleafy publica primeira análise técnica : Arquitetura dropper-droppee revelada 2023-Q3 : IBM Security Trusteer aprofunda pesquisa : Técnica de persistência pos-remoção documentada 2024-Q1 : Variantes com spreading via WhatsApp : Mutacoes evadindo detecção de AV 2024-Q3 : Ainda ativo com amostras novas : Técnicas anti-VM aprimoradas ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Deliver Malicious App | [[t1476-deliver-malicious-app-via-other-means\|T1476]] | Distribuição via phishing e WhatsApp | | Input Capture | [[t1417-input-capture-android\|T1417]] | Keylogging via Accessibility Services | | Application Discovery | [[t1418-application-discovery\|T1418]] | Detecta apps bancarios-alvo | | Input Injection | [[t1516-input-injection\|T1516]] | ATS preenche campos PIX automaticamente | | Foreground Persistence | [[t1541-foreground-persistence\|T1541]] | Droppee ativo em background | | Suppress App Icon | [[t1508-suppress-application-icon\|T1508]] | Droppee sem icone no launcher | | Screen Capture | [[t1513-screen-capture\|T1513]] | Captura de tela para monitoramento | ## Relevância LATAM > [!latam] Impacto no Brasil > O PixPiraté é uma das ameaças Android mais sofisticadas ao **sistema financeiro brasileiro** até 2024. Com 140 milhões de usuários PIX e volume superior a R$ 2 trilhões anuais, o Brasil é o principal alvo. As fraudes PIX são irreversíveis após confirmação — o ATS executa transferências invisíveis em frações de segundo, sem interação humana do operador. O PixPiraté representa uma das ameaças Android mais sofisticadas ao sistema [[financial|Financeiro]] brasileiro até 2024. Com 140 milhões de usuarios PIX ativos e volume superior a R$ 2 trilhoes anuais, o Brasil e o principal alvo deste tipo de malware. Instituicoes confirmadas no escopo de alvo incluem bancos como [[itau|Itau]], [[mercado-pago|Mercado Pago]] e outras grandes instituicoes digitais. O ATS e especialmente perigoso porque: - Contorna autenticação via SMS interceptando códigos OTP em tempo real - Executa transferencias invisiveis em fracoes de segundo - Fraudes via PIX sao irreversiveis após confirmacao pelo banco - Opera de forma totalmente transparente para a vitima O padrao de codificacao e foco exclusivo no Brasil sugere um ator com profundo conhecimento do sistema financeiro nacional - possívelmente parte do mesmo ecossistema que produziu [[brasdex|BrasDex]] e [[gopix|GoPix]]. ## Detecção e Defesa **Para usuarios:** - Instalar apps exclusivamente pela Google Play Store oficial - Recusar permissoes de Acessibilidade para apps que nao sao leitores de tela - Ativar Google Play Protect e verificar status periodicamente - Monitorar transações PIX via notificacoes em tempo real **Para instituicoes financeiras:** - Implementar **Mobile Threat Defense (MTD)** com análise comportamental - Detectar sequencias de UI automatizadas: múltiplas interacoes programaticas em apps bancarios - Adicionar camadas de biometria para PIX acima de limites definidos - Monitorar novas chaves PIX como destinatario - adicionar delay para primeiras transferencias **Regras de detecção:** - App solicitando Accessibility Services sem função declarada de acessibilidade - Google Play Protect desabilitado por app de terceiros - Comúnicação de rede após execução de app bancario para IPs nao catalogados ## Referências - [1](https://thehackernews.com/2023/02/pixpiraté-new-android-banking-trojan.html) The Hacker News - PixPiraté New Android Banking Trojan (2023) - [2](https://www.ibm.com/think/insights/pixpiraté-brazilian-financial-malware) IBM Security Trusteer - PixPiraté Brazilian Financial Malware - [3](https://www.ibm.com/think/insights/pixpiraté-back-spreading-via-whatsapp) IBM Trusteer - PixPiraté spreading via WhatsApp (2024) - [4](https://www.cleafy.com/cleafy-labs/pixpiraté-a-new-brazilian-banking-trojan) Cleafy Labs - Análise técnica primaria - [5](https://cyble.com/blog/pixbankbot-new-ats-based-malware-poses-threat-to-the-brazilian-banking-sector/) Cyble - PixBankBot variante ATS --- **Ver também:** [[brasdex]] - [[gopix]] - [[guildma]] - [[taxispy-rat]] - [[pixrevolution]] - [[oblivion-rat]] - [[financial|Setor Financeiro]] - [[_malware]]