# TaxiSpy RAT > Banking Trojan Android com dupla capacidade: RAT completo e fraud tool bancaria. Parte da wave de 6 novas familias Android identificadas em marco de 2026 mirando o ecossistema PIX brasileiro. Analisado pela CYFIRMA e Zimperium com capacidades de controle remoto VNC e interceptação de OTP. ## Visão Geral **TaxiSpy RAT** e uma familia de malware Android emergente identificada pela [[cyfirma|CYFIRMA]] e [[zimperium|Zimperium]] em marco de 2026. Diferencia-se de banking trojans convencionais por combinar capacidades de **vigilancia completa do dispositivo** com **roubo de credenciais bancarias** - uma ameaça dupla para usuarios e instituicoes financeiras brasileiras. Como parte da [[wave-android-banking-trojans-brasil-2026|wave de seis familias]] identificadas simultaneamente, o TaxiSpy representa o nivel mais avancado de ameaças mobile direcionadas ao [[financial|sistema PIX]] até 2026. | Campo | Detalhe | |-------|---------| | Plataforma | Android | | Tipo | Banking Trojan + RAT completo | | Descoberta | Marco 2026 (CYFIRMA, Zimperium) | | Status | Ativo - amostras múltiplas em circulacao | | Diferencial | Controle remoto VNC + fraud tool bancaria | | Alvo primario | PIX, apps bancarios e cripto brasileiro | ## Como Funciona ### Controle Remoto - VNC via WebSocket A capacidade mais avancada do TaxiSpy e o **controle remoto VNC-like via WebSocket**: - Operador ve a tela da vitima em tempo real - Pode interagir com o dispositivo remotamente - Executa transações como se fosse o proprio usuario - Contorna verificacoes biometricas que aguardam input real do usuario ### Comúnicação C2 via Firebase O TaxiSpy usa **Firebase Cloud Messaging (FCM)** para receber comandos: - Comandos chegam como push notifications do Firebase - Dificil detecção por análise de trafego (FCM e trafego legitimo do Google) - Comandos dinâmicos configurados pelo operador via dashboard ### Capacidades de Vigilancia - **SMS e chamadas** - captura mensagens e registros em tempo real - **Contatos** - exfiltração da lista de contatos para engenharia social - **Notificacoes** - interceptação de notificacoes de todos os apps - **Screen capture** - capturas automaticas e sob demanda - **Location tracking** - GPS em tempo real ### Fraude Bancaria - Monitoramento específico de apps bancarios brasileiros - Hijacking de transações PIX durante execução - Keylogging e overlay de telas falsas para captura de credenciais - Interceptação de OTPs via SMS antes de chegarem ao usuario ### Evasão e Persistência - **Biblioteca nativa criptografada** - payload principal em `.so` criptografada - **Ofuscacao XOR rotativa** - strings ofuscadas com chave XOR rotativa - **Multiplas variantes** - renovacao continua de amostras para evasão de blacklists - **Accessibility Services** - persistência mesmo com restricoes do SO ## Attack Flow ```mermaid graph TB A["📱 Distribuição<br/>Fake Play Store pages<br/>SMS - WhatsApp links"] --> B["💾 Instalacao APK<br/>Impersonacao de marcas BR<br/>Correios - Nubank - STJ"] B --> C["♿ Accessibility + FCM<br/>Firebase Cloud Messaging<br/>Comandos como push notifications"] C --> D["📹 VNC WebSocket<br/>Tela da vitima ao vivo<br/>Controle remoto do operador"] C --> E["📱 Vigilancia Completa<br/>SMS - Contatos - GPS<br/>Keylog por app T1417"] D --> F["💰 Fraude PIX<br/>Operador controla sessao<br/>Transação como usuario real"] E --> F classDef delivery fill:#c0392b,color:#fff classDef install fill:#2980b9,color:#fff classDef c2 fill:#8e44ad,color:#fff classDef collect fill:#e67e22,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B install class C c2 class D,E collect class F impact ``` ## Timeline ```mermaid timeline title TaxiSpy RAT - Contexto Wave 2026 2026-03-12 : CYFIRMA identifica 6 familias : TaxiSpy como uma das mais avancadas 2026-03-19 : Google anuncia restricoes Accessibility API : Em resposta a wave de malware 2026-03-20 : The Hacker News - cobertura wave : Zimperium confirma amostras multiplas ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Input Capture | [[t1417-input-capture-android\|T1417]] | Keylogging com tag por app e hora | | Location Tracking | [[t1430-location-tracking\|T1430]] | GPS em tempo real | | Protected User Data | [[t1636-contact-list\|T1636]] | Exfiltração de contatos | | Screen Capture | [[t1513-screen-capture\|T1513]] | VNC WebSocket + capturas automaticas | | Abuse Accessibility | [[t1453-abuse-accessibility-features\|T1453]] | Persistência e controle via AAS | | SMS Control | [[t1582-sms-control\|T1582]] | Interceptação de OTP e 2FA | | App Layer Protocol | [[t1437-application-layer-protocol\|T1437]] | FCM para C2 command delivery | | Masquerading | [[t1036-masquerading\|T1036]] | Impersona Correios, Nubank, STJ, Sicredi | ## Relevância LATAM > [!latam] Impacto no Brasil > O TaxiSpy RAT integra a maior onda coordenada de malware Android específico para o **Brasil** em março de 2026. O sistema PIX com **170 milhões de usuários** e mais de 3 bilhões de transações mensais torna o Brasil o principal mercado-alvo de banking trojans mobile na América Latina. A impersonação de marcas como Correios, Nubank e STJ demonstra conhecimento profundo do contexto local. O TaxiSpy e parte da maior onda coordenada de malware Android específicamente direcionado ao Brasil registrada em marco de 2026. O [[financial|Sistema PIX]], com **170 milhões de usuarios** e mais de 3 bilhoes de transações mensais, tornou o Brasil o maior mercado-alvo para banking trojans mobile na América Latina. O diferencial do TaxiSpy em relacao as outras 5 familias e a combinacao de controle remoto humano (VNC) com automacao - o operador pode assumir controle manual quando a automacao falha, garantindo maior taxa de sucesso nas fraudes. A impersonacao de marcas como **Correios**, **Nubank**, **STJ** (Superior Tribunal de Justica) e **Sicredi** demonstra conhecimento profundo do contexto brasileiro - apps e institucoes de alta confiança para usuarios locais. ## Detecção e Defesa **Para usuarios:** - Instalar apps exclusivamente pela Google Play Store oficial - Verificar permissoes solicitadas - banking apps legitimos nao pedem acesso a Acessibilidade completa - Ativar Google Play Protect e manter atualizado - Monitorar consumo anormal de bateria e dados (indicativo de RAT ativo) - Verificar destinatario PIX manualmente antes de confirmar qualquer transação **Para instituicoes financeiras:** - Implementar Mobile Threat Defense (MTD) para detecção de variantes conhecidas - Monitorar transações PIX com padroes de comportamento anomalos (ex: sequencias rapidas) - Autenticação biometrica obrigatoria para PIX acima de limites de risco - Detectar sessoes VNC ativas durante transações bancarias **Indicadores tecnicos:** - WebSocket para IPs externos durante sessoes bancarias - FCM tokens nao associados a apps conhecidos - Biblioteca `.so` criptografada sem funcionalidade declarada no manifesto - XOR decryption de strings em runtime ## Referências - [1](https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html) The Hacker News - Six Android Malware Families Target PIX (2026) - [2](https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time) Zimperium - Wave de 6 familias Android Brasil 2026 - [3](https://www.cyfirma.com/research/) CYFIRMA Research Portal - análise primaria TaxiSpy --- **Ver também:** [[oblivion-rat]] - [[surxrat]] - [[pixrevolution]] - [[beatbanker]] - [[wave-android-banking-trojans-brasil-2026]] - [[guildma]] - [[financial|Setor Financeiro]] - [[_malware]]