# SurxRAT > RAT Android com foco em fraude bancaria e sistema PIX, identificado em marco de 2026 como parte da onda de seis familias de malware Android mirando o ecossistema financeiro brasileiro. Combina acesso remoto completo com mecanismos específicos para hijacking de transações PIX. ## Visão Geral **SurxRAT** e um Remote Access Trojan (RAT) Android com capacidades bancarias avancadas, identificado em marco de 2026 como parte de uma campanha coordenada com outras cinco familias de malware - [[oblivion-rat|Oblivion RAT]], [[taxispy-rat|TaxiSpy RAT]], [[pixrevolution|PixRevolution]], [[beatbanker|BeatBanker]] e [[mirax-rat|Mirax RAT]] - todas mirando exclusivamente o sistema financeiro brasileiro. O SurxRAT combina capacidades clássicas de RAT (controle remoto, captura de tela, keylogging) com mecanismos específicos para fraude no [[financial|sistema PIX]] - o maior sistema de pagamentos instantaneos do mundo em volume de transações. | Campo | Detalhe | |-------|---------| | Plataforma | Android | | Tipo | RAT com capacidades bancarias | | Descoberta | Marco 2026 | | Status | Ativo - amostras em circulacao | | Alvo principal | Apps bancarios brasileiros e sistema PIX | | Mecanismo central | Accessibility Services + PIX overlay | ## Como Funciona ### Accessibility Services - Nucleo Operacional Como todas as familias da wave de marco de 2026, o SurxRAT abusa das Android Accessibility Services: ``` typeAllMask=true -> Monitora todos os eventos UI canRetrieveWindowContent=true -> Le conteudo de qualquer tela canPerformGestures=true -> Injeta toques e swipes programaticos dispatchGesture() -> Executa acoes bancarias automaticamente getBoundsInScreen() -> Localiza elementos UI para interação ``` Esta configuração permite ao SurxRAT: - Monitorar apps bancarios sem detecção visual - Detectar campos PIX e substituir destinatario em tempo real - Confirmar transações automaticamente via gestos programaticos - Ler e interceptar SMS com códigos OTP/2FA ### PIX Overlay e Hijacking O SurxRAT monitora palavras-chave em portugues relacionadas a transações PIX (codificadas em base64 para evasão). Quando detectadas: 1. Captura a chave PIX destinataria exibida na tela 2. Substitui pela chave do atacante via `SYSTEM_ALERT_WINDOW` overlay 3. Confirma a transação usando gestos automaticos 4. Intercepta SMS de confirmacao do banco para prevenir alertas ### Distribuição - APKs falsos distribuidos via SMS/WhatsApp com links para download - Impersonacao de apps de correios, rastreamento de encomendas, apps bancarios - Paginas falsas da Google Play Store - Engenharia social em nome de marcas brasileiras reconhecidas (Correios, Nubank, etc.) ## Attack Flow ```mermaid graph TB A["📱 Engenharia Social<br/>Link SMS ou WhatsApp<br/>Impersonacao de app legitimo"] --> B["💾 Instalacao APK<br/>Sideload fora da Play Store<br/>Solicita Accessibility Services"] B --> C["♿ Accessibility Config<br/>typeAllMask + gestures<br/>Monitoramento total do dispositivo"] C --> D["🔍 Monitoring PIX<br/>Palavras-chave em base64<br/>Detecção de transações"] D --> E["🎭 Overlay Ataque<br/>SYSTEM_ALERT_WINDOW<br/>Substitui chave PIX"] E --> F["✅ Confirmacao Automatica<br/>Gestos programaticos<br/>SMS OTP interceptado"] classDef delivery fill:#c0392b,color:#fff classDef install fill:#2980b9,color:#fff classDef persist fill:#8e44ad,color:#fff classDef detect fill:#e67e22,color:#fff classDef attack fill:#e74c3c,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B install class C persist class D detect class E attack class F impact ``` ## Timeline ```mermaid timeline title SurxRAT - Contexto de Descoberta 2026-03 : Identificado junto com 5 outras familias : CYFIRMA e Zimperium analisam amostras 2026-03 : The Hacker News publica wave de 6 familias : Check Point confirma amostras 2026-03 : 150 milhoes usuarios PIX em risco : Google restinge Accessibility API em resposta ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Input Capture | [[t1417-input-capture-android\|T1417]] | Keystroke logging via Accessibility | | Screen Capture | [[t1513-screen-capture\|T1513]] | Captura e streaming de tela | | Application Discovery | [[t1418-application-discovery\|T1418]] | Detecção de apps bancarios instalados | | Active App Window | [[t1416-active-application-window\|T1416]] | Overlays em apps bancarios ativos | | Abuse Accessibility | [[t1453-abuse-accessibility-features\|T1453]] | Controle total via Accessibility API | | Input Injection | [[t1516-input-injection\|T1516]] | Substituicao de dados PIX e gestos | | SMS Control | [[t1582-sms-control\|T1582]] | Interceptação de OTP bancario | ## Relevância LATAM > [!latam] Impacto no Brasil > O SurxRAT integra a onda de 6 famílias de malware Android identificadas em março de 2026, todas exclusivamente direcionadas ao **Brasil**. Com mais de **170 milhões de usuários PIX** e 3 bilhões de transações mensais, o Brasil é o maior mercado de pagamentos instantâneos do mundo — alvo natural para ameaças financeiras móveis. A Google restringiu o Accessibility API em resposta direta a esta onda. O SurxRAT e a sexta familia confirmada na maior onda de malware Android específicamente direcionado ao Brasil em 2026. Com mais de **170 milhões de usuarios PIX** e o sistema sendo usado em mais de 3 bilhoes de transações mensais, o Brasil representa o maior mercado de pagamentos instantaneos do mundo - e um alvo natural para ameaças financeiras moveis. O padrao de descoberta simultanea de seis familias indica um **ecossistema organizado de cybercrime-as-a-service** com foco regional no Brasil, potencialmente conectado a grupos estabelecidos como [[guildma|Guildma]] e [[mekotio|Mekotio]], que historicamente exploram o ecossistema bancario brasileiro. A resposta do Google de restringir o Accessibility API após a wave de marco de 2026 confirma o impacto desta campanha na plataforma Android. ## Detecção e Defesa **Para usuarios:** - Nao instalar apps fora da Google Play Store oficial - Recusar Accessibility Services para apps que nao sao leitores de tela conhecidos - Verificar destinatario PIX na tela do banco antes de confirmar (nao confiar em pre-preenchimento) - Monitorar notificacoes de transações PIX em tempo real **Para equipes de segurança:** - Detectar SYSTEM_ALERT_WINDOW ativo durante sessoes bancarias - Monitorar padroes de overlay em apps bancarios - sobreposicao de UI suspeita - Behavioral: múltiplas acoes Accessibility rapidas em sequencia sao indicadores de ATS - MTD (Mobile Threat Defense) com detecção de abuso de Accessibility Services **Mitigacoes técnicas:** - Google Advanced Protection Mode - bloqueia Accessibility API abuse - Play Protect com configuracoes estritas - MDM corporativo com restricao de sideload ## Referências - [1](https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html) The Hacker News - Six Android Malware Families Target PIX - [2](https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time) Zimperium - Análise da wave Android Brasil 2026 - [3](https://bulletproofservers.hk/blog/6-new-android-malware-families-are-draining-pix-bank-and-crypto-accounts/) BulletproofServers - 6 New Android Malware Families - [4](https://eromang.zataz.com/2026/03/12/six-android-malware-families-target-pix-payments-banking-apps-and-crypto-wallets/) Eromang - Six Android Malware Families cobertura --- **Ver também:** [[oblivion-rat]] - [[taxispy-rat]] - [[pixrevolution]] - [[beatbanker]] - [[wave-android-banking-trojans-brasil-2026]] - [[financial|Setor Financeiro]] - [[_malware]]