# PixRevolution > [!danger] Ameaça Ativa - PIX Hijacking > Trojan bancário Android que sequestra transações PIX em tempo real usando modelo **agente-em-loop** - operador humano ou IA monitora a tela da vítima e intervém no exato momento da transferência. Identificado pela Zimperium em março de 2026. O PIX processa mais de **3 bilhões de transações por mês** com mais de **150 milhões de usuários** registrados. ## Visão Geral **PixRevolution** é um trojan bancário Android identificado pela Zimperium zLabs em março de 2026, projetado específicamente para sequestrar transações via [[banco-central-brasil|Banco Central do Brasil]] PIX - o sistema de pagamentos instantâneos mais utilizado no país, com mais de 76% da população utilizando-o para transferências imediatas. O que distingue o PixRevolution de trojans bancários convencionais é seu modelo de ataque **agente-em-loop**: em vez de automatizar o ataque, o malware transmite a tela do dispositivo ao vivo para um operador remoto (humano ou IA), que observa em tempo real e intervém no exato momento em que a vítima inicia uma transferência PIX. Essa abordagem elimina a necessidade de reverter a interface de cada aplicativo bancário - o operador simplesmente lê o que está na tela. A descoberta faz parte de uma investigação conjunta da [[zimperium|Zimperium]] e [[cyfirma|CYFIRMA]] que identificou ao todo seis famílias de malware Android novas direcionadas ao Brasil em março de 2026: [[pixrevolution|PixRevolution]], [[mirax-rat|Mirax RAT]], [[beatbanker|BeatBanker]], [[taxispy-rat|TaxiSpy RAT]], [[oblivion-rat|Oblivion RAT]] e [[surxrat|SURXRAT]]. **Impacto:** Com transferências PIX sendo instantâneas e **irreversíveis**, cada ataque bem-sucedido resulta em prejuízo imediato e irrecuperável para a vítima. ## Como Funciona ### Distribuição e Instalação O PixRevolution é distribuído por meio de **páginas falsas do Google Play** que imitam a interface oficial da lojá, incluindo descrições, avaliações e botões de instalação. Em vez de redirecionar para a lojá real, o botão baixa um APK malicioso. Aplicativos impersonados incluem: - **Expedia** e aplicativos de viagem populares no Brasil - **Correios** (serviço postal brasileiro - alta credibilidade) - **STJ** (Superior Tribunal de Justiça - autoridade governamental) - **Sicredi** e outras instituições financeiras - **XP Investimentos** e plataformas de investimento - Aplicativos antivírus falsos Após instalação, o malware exibe uma tela de onboarding convincente solicitando que o usuário ative o serviço de acessibilidade "Revolution", alegando falsamente que a permissão é necessária para ativar funcionalidades do app e que "nenhuma informação pessoal é coletada". Após conceder a permissão, a tela redireciona para o site legítimo do Banco do Brasil - reforçando a ilusão de legitimidade. Algumas amostras são **droppers**: carregam o payload RAT real como arquivo embutido (`assets/update.apk`) e usam a API `PackageInstaller` do Android para instalar silenciosamente, sem exibir diálogo de instalação. ### Mecanismo de Ataque: 5 Atos **Ato 1 - O Trojan Desperta:** Com o serviço de acessibilidade ativado, o PixRevolution começa a monitorar *todos* os eventos do dispositivo (`typeAllMask`). Ele pode ler qualquer texto visível na tela, realizar toques e swipes, e monitorar qualquer app aberto. **Ato 2 - Transmissão ao Vivo:** O malware conecta-se a um servidor C2 externo via TCP na **porta 9000**, enviando heartbeats periódicos com informações do dispositivo e ativando captura de tela em tempo real via **MediaProjection API** do Android. **Ato 3 - Vigilância Financeira:** O PixRevolution monitora continuamente a tela buscando mais de **80 frases em português** relacionadas a transações financeiras, codificadas em base64 para evadir escaneamento de strings. Quando uma frase-gatilho é detectada (ex: "confirmar transferência", "chave PIX", "valor a transferir"), o operador é notificado. **Ato 4 - Intervenção no Momento Crítico:** Diferente de trojans automatizados que quebram quando o banco atualiza sua interface, o PixRevolution tem um **operador ativo no loop** que lê a tela em tempo real e decide quando agir. O malware usa `accessibility tree queries` para localizar elementos de interface dinâmicamente, funcionando em qualquer aplicativo financeiro com PIX. **Ato 5 - O Golpe:** Quando a vítima insere o valor e a chave PIX do destinatário, o operador aciona o ataque. O malware exibe um **overlay WebView falso** com a mensagem "Aguarde..." enquanto, em segundo plano, substitui a chave PIX do destinatário pela do atacante e simula o toque de confirmação. Ao final, o overlay é removido e o app exibe a tela de "transferência concluída" normalmente - a vítima não percebe que o dinheiro foi para outra conta. ### Design Agnóstico de Banco O PixRevolution não possui lista hardcoded de aplicativos-alvo - ele monitora *qualquer app* que processe PIX, tornando-o eficaz contra todas as instituições financeiras brasileiras que suportam o sistema. As únicas referências hardcoded são URLs de logos de 10 grandes instituições financeiras brasileiras usadas na interface do malware. ## Attack Flow ```mermaid graph TB A["📱 Página falsa Google Play<br/>Impersona Correios/Sicredi/STJ<br/>Download APK malicioso"] --> B["⚙️ Instalação + Dropper<br/>PackageInstaller API<br/>Instala payload silenciosamente"] B --> C["🎭 Engenharia Social<br/>Solicita Acessibilidade<br/>Serviço chamado Revolution"] C --> D["📡 Conexão C2<br/>TCP porta 9000<br/>Heartbeat + MediaProjection"] D --> E["👁️ Vigilância Total<br/>80+ frases PIX em base64<br/>Monitora TODOS os apps"] E --> F["🔴 Momento Crítico<br/>Operador monitora ao vivo<br/>Vítima inicia PIX"] F --> G["💸 Overlay Aguarde...<br/>Substitui chave PIX<br/>Confirma fraudulentamente"] G --> H["✅ Transferência Concluída<br/>Vítima não percebe<br/>Valor irreversível"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef install fill:#e67e22,stroke:#d35400,color:#fff classDef social fill:#f39c12,stroke:#d68910,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef monitor fill:#2980b9,stroke:#1a5276,color:#fff classDef attack fill:#c0392b,stroke:#922b21,color:#fff classDef impact fill:#2c3e50,stroke:#1a252f,color:#fff class A delivery class B install class C social class D c2 class E monitor class F,G attack class H impact ``` ## TTPs Mapeados | Técnica | ID | Descrição no PixRevolution | |---------|----|---------------------------| | System Information Discovery | [[t1426-system-information-discovery\|T1426]] | Coleta informações do dispositivo via heartbeat na porta 9000 | | Input Capture | [[t1056-input-capture\|T1056]] | Captura de credenciais e dados via Accessibility Services | | Input Capture (Android) | [[t1417-input-capture-android\|T1417]] | Keylogging e captura de input via acessibilidade Android | | Screen Capture | [[t1513-screen-capture\|T1513]] | Transmissão ao vivo via MediaProjection API | | Browser Session Hijacking | [[t1185-browser-session-hijacking\|T1185]] | Hijacking de sessão bancária e PIX em tempo real | | Masquerading | [[t1036-masquerading\|T1036]] | Impersonação de Correios, Sicredi, STJ, XP Investimentos | | Hide Artifacts | [[t1655-hide-artifacts-android\|T1655]] | Strings financeiras codificadas em base64 para evasão | | Encrypted Channel | [[t1521-encrypted-channel-android\|T1521]] | Comúnicação C2 criptografada via TCP 9000 | ## Evolução e Descoberta ```mermaid timeline title Evolução do PixRevolution 2020 : PIX lançado pelo Banco Central : Sistema de pagamentos instantâneos 2021 : PIX atinge 100 milhões de usuários : Torna-se alvo prioritário de fraude 2025 : Surgimento do modelo agente-em-loop : Operadores humanos substituem automação Mar 2026 : Zimperium + CYFIRMA descobrem PixRevolution : 6 famílias Android direcionadas ao Brasil : PIX com 150M usuários e 3B transações/mes ``` ## Relevância LATAM/Brasil ```mermaid pie title Instituicoes Financeiras Referenciadas "Bancos tradicionais BR" : 40 "Fintechs e digitais BR" : 30 "Corretoras e investimentos" : 15 "Cooperativas (Sicredi)" : 10 "Outros (700+ participantes PIX)" : 5 ``` > [!danger] Impacto Direto ao Sistema Financeiro Brasileiro > O [[banco-central-brasil|Banco Central do Brasil]] implementou o PIX em novembro de 2020. Em apenas 5 anos, o sistema atingiu mais de **150 milhões de usuários registrados**, processa mais de **3 bilhões de transações por mês** e é utilizado por **76% da população brasileira**. A irreversibilidade das transferências PIX - característica de design do sistema para garantir velocidade - é exatamente o que torna o PixRevolution tão perigoso: cada ataque bem-sucedido resulta em prejuízo definitivo. > [!warning] Por que o modelo agente-em-loop é uma escalada > Trojans bancários tradicionais como [[s0531-grandoreiro|Grandoreiro]] e [[s0373-astaroth|Astaroth]] dependem de automação que quebra quando bancos atualizam sua interface. O PixRevolution resolve esse problema com inteligência humana (ou de IA) em tempo real: o operador simplesmente lê o que vê na tela, tornando o malware **agnóstico de banco** e resistente a mudanças de UI. Essa abordagem pode ser exportada para outros sistemas de pagamento instantâneo no mundo. > [!tip] Setores Afetados > - **Setor financeiro (principal alvo):** Todos os bancos e fintechs brasileiras que suportam PIX - Itaú, Bradesco, Nubank, Banco do Brasil, Sicredi, XP Investimentos e mais de 700 instituições participantes > - **Varejo e e-commerce:** Usuários de carteiras digitais que realizam pagamentos via PIX ## Superfície de Ataque: Os 5 Atos em Detalhe ```mermaid graph TB subgraph distribuição["Distribuição"] A1["Pagina falsa Google Play<br/>Correios/STJ/Sicredi/XP"] A2["APK dropper<br/>assets/update.apk embutido"] end subgraph instalacao["Instalacao + Ativacao"] B1["PackageInstaller API<br/>Instala silenciosamente"] B2["Permissao Acessibilidade<br/>Servico chamado Revolution"] B3["Redireciona p/ Banco do Brasil<br/>Ilusao de legitimidade"] end subgraph vigilancia["Vigilancia em Tempo Real"] C1["MediaProjection API<br/>Transmite tela ao vivo - TCP 9000"] C2["80+ frases PIX em base64<br/>Monitora TODOS os apps"] C3["Operador humano ou IA<br/>Aguarda momento critico"] end subgraph golpe["O Golpe PIX"] D1["Overlay Aguarde...<br/>Bloqueia confirmacao real"] D2["Substitui chave PIX<br/>Accessibility tree query"] D3["Transferencia irreversivel<br/>Vitima nao percebe"] end A1 --> B1 A2 --> B1 B1 --> B2 B2 --> B3 B3 --> C1 C1 --> C2 C2 --> C3 C3 --> D1 D1 --> D2 D2 --> D3 classDef dist fill:#cc6600,color:#fff classDef install fill:#1a3a5c,color:#fff classDef watch fill:#cc9900,color:#000 classDef impact fill:#cc0000,color:#fff class A1,A2 dist class B1,B2,B3 install class C1,C2,C3 watch class D1,D2,D3 impact ``` ## Indicadores de Comprometimento **Categorias de IoC a monitorar:** - APKs solicitando permissão de acessibilidade com nome de serviço "Revolution" - Conexões TCP de saída na porta 9000 a partir de apps de aparência legítima - Uso da MediaProjection API por aplicativos fora da lista de confiança - Presença de strings em base64 decodificando para frases em português sobre transações financeiras - Droppers com arquivo `assets/update.apk` embutido **Padrões de comportamento suspeito:** - App solicita acessibilidade mas redireciona para site bancário legítimo após concessão - Overlay "Aguarde..." de curta duração durante confirmação de transferência PIX - `AccessibilityEvent.TYPE_WINDOW_STATE_CHANGED` de processo não-bancário monitorando apps financeiros ## Detecção e Mitigação > [!tip] Recomendações para Usuários e Organizações > 1. **Instalar apps SOMENTE pela Google Play oficial** - verificar URL no navegador antes de baixar > 2. **Nunca conceder Acessibilidade a apps que não sejam de assistência** - bancos legítimos não precisam dessa permissão > 3. **Revisar apps com permissão de Acessibilidade instalados** - remover qualquer app desconhecido > 4. **Verificar o destinatário PIX APÓS a tela "Aguarde..."** - confirmar que a chave PIX não foi alterada > 5. **Usar autenticação biométrica** - reduz a jánela de ataque mas não elimina o risco > 6. **MDM corporativo:** Bloquear instalação de APKs de fontes desconhecidas (sideloading) em dispositivos corporativos **Para equipes de segurança móvel:** - Implementar Mobile Threat Defense (MTD) com detecção comportamental de abuso de acessibilidade - Monitorar uso da MediaProjection API em apps não-aprovados - Alertar para conexões TCP não-padrão de apps de aparência legítima ## Famílias Relacionadas da Mesma Campanha Descobertas simultâneas em março de 2026 pela Zimperium e CYFIRMA: | Família | Tipo | Preço MaaS | Diferencial | |---------|------|-----------|-------------| | [[pixrevolution\|PixRevolution]] | Banking Trojan | N/A | Agente-em-loop, agnóstico de banco | | [[mirax-rat\|Mirax RAT]] | RAT + Banking | $1.750-$2.500/mês | SOCKS5 proxy, painel web completo | | [[beatbanker\|BeatBanker]] | Banking + Cryptominer | N/A | Firebase C2, minerador de cripto embutido | | [[taxispy-rat\|TaxiSpy RAT]] | RAT | N/A | VNC via WebSocket, foco em bancos russos | | [[oblivion-rat\|Oblivion RAT]] | RAT | $300/mês | Bypass de proteções Android recentes | | [[surxrat\|SURXRAT]] | RAT | N/A | Firebase C2, evolução do Arsink | ## Referências - [Zimperium zLabs - PixRevolution: The Agent-Operated Android Trojan](https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time) - 2026-03-11 - [The Hacker News - Six Android Malware Families Target Pix Payments](https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html) - 2026-03-12 - [Infosecurity Magazine - PixRevolution Malware Hijacks Brazil's PIX Transfers](https://www.infosecurity-magazine.com/news/pixrevolution-malware-brazils-pix/) - 2026-03-12 - [CYFIRMA - Android Banking Malware Targeting Brazil](https://www.cyfirma.com/research/) - 2026-03