> [!warning] Aviso Importante
> Este playbook é um ponto de partida baseado em boas práticas públicas. Deve ser revisado, testado e adaptado ao ambiente da sua organização antes de uso em produção. Fraudes PIX envolvem aspectos regulatórios específicos do BACEN - consulte jurídico e DPO antes de qualquer ação de notificação. O processo MED (Mecanismo Especial de Devolução) tem janelas de tempo estritas.
---
## Visão Geral
A fraude PIX via malware Android representa uma das principais ameaças ao sistema financeiro brasileiro. Grupos como [[g0099-blind-eagle-apt-c-36]] e operadores de trojans bancários brasileiros desenvolveram famílias de RAT Android especializadas no abuso do **Serviço de Acessibilidade** do Android para capturar credenciais, realizar transações PIX fraudulentas em segundo plano e interceptar tokens de autenticação SMS.
**Famílias mais ativas no Brasil:**
- **[[pixrevolution]]** - RAT Android especializado em PIX, usa overlay para capturar chaves
- **[[beatbanker]]** - Trojan bancário mobile com módulo específico para PIX Automatico
- **[[mirax-rat]]** - RAT com controle remoto total e interceptação de OTP via SMS
- **[[surxrat]]** - Variante que abusa de VNC mobile para controle silencioso do dispositivo
- **[[oblivion-rat]]** - RAT de origem brasileira com módulo de fraude PIX em segundo plano
- **[[taxispy-rat]]** - Spyware/RAT distribuído via APKs de apps de transporte falsos
**Por que este cenário é crítico:**
- PIX opera 24/7, incluindo madrugadas e finais de semana
- Transações PIX têm limite padrão de R$ 1.000 por transação noturna (PIX Noturno)
- O **Mecanismo Especial de Devolução (MED)** permite reversão de até 7 dias para fraudes e 96 horas para erros
- A LGPD exige notificação de violação de dados pessoais em prazo razoável (Art. 48)
- Regulação BACEN: Resolução BCB n. 1 (PIX) e Resolução BCB n. 6 (segurança)
**Notas relacionadas:** [[pixrevolution]] - [[beatbanker]] - [[mirax-rat]] - [[g0099-blind-eagle-apt-c-36]] - [[t1417-input-capture-mobile|T1417]] - [[t1411-input-prompt|T1411]] - [[financial|setor financeiro]] - [[government|regulação BACEN]]
---
## Attack Flow - Fraude PIX Android
```mermaid
graph TB
A["🎯 Engenharia Social<br/>SMS falso / WhatsApp"] --> B["📦 Download APK Malicioso<br/>Fora da Play Store"]
B --> C["⚙️ Instalação e Permissões<br/>Acessibilidade + SMS + Overlay"]
C --> D["👁️ Monitoramento Ativo<br/>Captura de tela e teclas"]
D --> E["🏦 App Bancário Aberto<br/>Overlay de login exibido"]
E --> F["🔑 Credenciais Capturadas<br/>Enviadas ao C2"]
F --> G["📱 OTP / Token Interceptado<br/>via SMS Hook"]
G --> H["💸 Transferência PIX<br/>Realizada em Background"]
H --> I["🌀 Lavagem de Dinheiro<br/>Contas laranjá / Criptomoeda"]
style A fill:#ff4444,color:#fff
style H fill:#ff0000,color:#fff
style I fill:#cc0000,color:#fff
style C fill:#ff9900,color:#000
style F fill:#ff6600,color:#fff
```
---
## Fluxo de Resposta ao Incidente
```mermaid
flowchart TD
A([" Alerta: Transação PIX<br/>Nao Autorizada Detectada"]) --> B{Dispositivo<br/>sob controle?}
B -->|Sim - funcionario com device corporativo| C[Isolar Dispositivo<br/>MDM Network Block]
B -->|Nao - device pessoal BYOD| D[Orientar Usuario<br/>Protocolo de Emergencia]
C --> E[Documentar Transacoes<br/>PIX Fraudulentas]
D --> E
E --> F[Acionar MED no BACEN<br/>Jánela de 7 dias]
F --> G{App Malicioso<br/>Identificado?}
G -->|Sim| H[Extrair APK para<br/>Análise Forense]
G -->|Nao| I[Varredura com<br/>MobSF / ANY.RUN]
H --> J[Análise de IOCs<br/>C2, chaves, permissoes]
I --> J
J --> K[Bloquear C2 no<br/>Firewall Corporativo]
K --> L[Notificar CERT.br<br/>e Banco Afetado]
L --> M[Erradicacao e<br/>Recuperacao do Dispositivo]
M --> N[Rotacao de Credenciais<br/>e Chaves PIX]
N --> O([" Incidente Encerrado"])
style A fill:#ff4444,color:#fff
style F fill:#ff6600,color:#fff
style O fill:#00aa44,color:#fff
style K fill:#ff9900,color:#000
```
---
## Contexto - Regulação PIX e BACEN
### Mecanismo Especial de Devolução (MED)
O MED e o principal mecanismo de reversao de fraudes PIX no Brasil. Fluxo obrigatorio:
| Tipo | Prazo para Solicitacao | Prazo de Devolução | Base Legal |
|------|----------------------|-------------------|------------|
| Fraude confirmada | Ate 80 dias corridos | 7 dias uteis | Resolução BCB n. 1/2020 |
| Erro de operação | Ate 90 dias | 96 horas | Resolução BCB n. 1/2020 |
| Fraude com lavagem | Ate 7 dias uteis | Imediato (bloqueio) | Resolução BCB n. 6/2023 |
**Passos para acionar o MED:**
1. Contatar o banco **imediatamente** após identificar a transação fraudulenta
2. Fornecer: valor, data/hora, chave PIX destino, EndToEndId da transação
3. O banco tem 96 horas para analisar e bloquear os fundos na conta destino
4. Registrar boletim de ocorrência (BO) policial - obrigatorio para MED por fraude
### Obrigacoes LGPD (Art. 48)
Se credenciais bancarias, dados pessoais ou dados financeiros foram comprometidos:
- Notificar a **ANPD** em prazo razoavel (recomendado: até 72h)
- Notificar os **titulares de dados** afetados
- Documentar: o que foi comprometido, volume, quem foi afetado, medidas tomadas
**Referencia regulatoria:** [[lgpd-lei-geral-proteção-dados]] - [[resolução-bcb-pix-segurança]]
---
## Indicadores de Comprometimento
### Comportamentos no Dispositivo
```
# Indicadores de abuso de Servico de Acessibilidade
- App desconhecido listado em Acessibilidade
- Uso de bateria anormalmente alto por app de baixo perfil
- Tela "piscando" brevemente ao abrir apps bancarios (overlay)
- Notificacoes de SMS desaparecendo rapidamente (hook ativo)
- Dados moveis elevados de app que nao usa internet normalmente
# IOCs comportamentais - PixRevolution / BeatBanker
- App com nome generico: "Atualização Android", "Flash Player", "Sistema"
- Permissoes solicitadas: BIND_ACCESSIBILITY_SERVICE + READ_SMS + SYSTEM_ALERT_WINDOW
- Conexão UDP/TCP para IPs brasileiros em portas nao padrao (7000-9000)
```
### Indicadores de Rede (Ambiente Corporativo)
```
# C2 patterns tipicos de RAT Android brasileiro
# Conexoes de dispositivos moveis para IPs residenciais BR
# DNS lookups para dominios DuckDNS ou No-IP (.ddns.net, .hopto.org)
# HTTP POST com corpo codificado em Base64 para porta 8080 ou 9090
```
### IOCs de Amostras Publicas
```
# MiraxRAT - dominios C2 documentados (historicos)
miraxcontrol[.]ddns.net
androidupdaté-br[.]hopto.org
# Hash SHA256 - amostras publicas VirusTotal
# Sempre válidar antes de usar operacionalmente
```
---
## Ferramentas Recomendadas
### Análise de APK Malicioso
| Ferramenta | Uso | Acesso |
|------------|-----|--------|
| **MobSF** | Análise estática e dinâmica de APK | `docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf` |
| **ANY.RUN** | Sandbox interativo Android | app.any.run - submeter APK |
| **Hybrid Analysis** | Sandbox Android automatizado | hybrid-analysis.com |
| **apktool** | Descompilar APK para análise de código | `apktool d malicious.apk -o output/` |
| **jádx** | Decompiler APK para Java legivel | `jádx -d output/ malicious.apk` |
| **androguard** | Framework Python para análise de APK | `androlyze.py -s malicious.apk` |
### MDM / Gerenciamento de Dispositivos
| Ferramenta | Uso |
|------------|-----|
| **Microsoft Intune** | Wipe remoto, bloqueio de dispositivo, coleta de logs |
| **VMware Workspace ONE** | Isolamento de dispositivo, quarentena de app |
| **Jámf Pro** | Gerenciamento iOS/Android - bloqueio e wipe remoto |
### Forense Mobile
| Ferramenta | Uso |
|------------|-----|
| **Cellebrite UFED** | Extração forense completa de dispositivo Android/iOS |
| **Oxygen Forensic** | Análise de apps, mensagens, artefatos Android |
| **ADB (Android Debug Bridge)** | `adb bugreport` - coletar logs sem comprometer dados |
---
## Checklist de Contencao
> [!danger] Execute imediatamente - janela MED e critica
- [ ] **T+0** - Confirmar transação PIX nao autorizada: EndToEndId, valor, chave destino
- [ ] **T+5min** - Contactar banco imediatamente pelo canal de emergencia (nao app comprometido)
- [ ] **T+10min** - Solicitar bloqueio preventivo de transações PIX na conta
- [ ] **T+15min** - Se device corporativo: acionar MDM para isolamento de rede
- [ ] **T+20min** - Se device pessoal: orientar usuario a ativar Modo Aviao imediatamente
- [ ] **T+30min** - Registrar Boletim de Ocorrencia (obrigatorio para MED por fraude)
- [ ] **T+1h** - Solicitar formalmente o MED ao banco com BO anexo
- [ ] **T+2h** - Identificar o app malicioso: verificar lista de apps instalados e acessibilidade
- [ ] **T+2h** - Extrair APK do dispositivo para análise forense antes de wipe
- [ ] **T+4h** - Revogar todas as credenciais bancarias do usuario afetado
- [ ] **T+4h** - Cancelar e regenerar chaves PIX do usuario (CPF/telefone/email/aleatoria)
- [ ] **T+8h** - Avaliar LGPD: dados pessoais comprometidos? Notificar ANPD se necessário
- [ ] **T+24h** - Wipe completo do dispositivo após coleta forense
---
## Checklist de Erradicacao
- [ ] Identificar o vetor de infecção: SMS phishing? WhatsApp? APK de origem desconhecida?
- [ ] Analisar APK com MobSF: permissoes, código C2, strings de bancos alvejados
- [ ] Extrair e bloquear dominios/IPs de C2 no firewall corporativo e DNS
- [ ] Verificar se outros dispositivos na organização instalaram o mesmo APK
- [ ] Buscar o hash do APK no VirusTotal e MISP para contexto de campanha
- [ ] Compartilhar IOCs com CERT.br (
[email protected]) para alerta setorial
- [ ] Remover o app malicioso ou realizar wipe completo (preferivel)
- [ ] Se wipe: restaurar a partir de backup limpo anterior a infecção
- [ ] Verificar e revogar tokens OAuth de apps bancarios no dispositivo antigo
---
## Checklist de Recuperacao
- [ ] Wipe completo e restauracao do dispositivo a partir do zero (nao de backup comprometido)
- [ ] Instalar apenas apps de fontes oficiais (Play Store) - desabilitar "fontes desconhecidas"
- [ ] Reconfigurar apps bancarios no dispositivo limpo
- [ ] Regenerar chaves PIX via app bancario oficial
- [ ] Alterar senhas de todos os servicos acessados no dispositivo comprometido
- [ ] Habilitar autenticação biometrica nos apps bancarios
- [ ] Registrar dispositivo no MDM corporativo antes de reconectar a rede
- [ ] Treinar usuario: reconhecer SMS de phishing, nunca instalar APK externo
- [ ] Monitorar conta bancaria por 30 dias após recuperacao
- [ ] Configurar alertas de transação PIX em tempo real via SMS/notificação push
---
## Queries de Detecção
### Splunk - Conexoes de Dispositivos Moveis para C2 Suspeito
```spl
index=proxy
| where match(src_ip, "^192\.168\.|^10\.|^172\.") AND category="mobile"
| where dest_port IN (7000, 8080, 8090, 9090, 4444, 5555)
| stats count by src_ip, dest_ip, dest_port
| where count > 5
| sort -count
```
### Splunk - DNS Lookup para Dominios DDNS (C2 Tipico de RAT Android)
```spl
index=dns
| where match(query, "\.(ddns\.net|hopto\.org|duckdns\.org|no-ip\.com)