Você recebeu uma mensagem prometendo reembolso do INSS? Ou um link para baixar o aplicativo da Starlink fora da Play Store?
Pode ser uma armadilha projetada para roubar o seu dinheiro, e a empresa de Cibersegurança Kaspersky acaba de nomear o responsável: o BeatBanker, Malware que Finge ser um App Android, um trojan bancário para que combina roubo de credenciais, desvio de transferências bancárias, mineração de criptomoedas e controle remoto do celular em um único programa malicioso.
A descoberta foi anunciada pela equipe de pesquisa da Kaspersky com base na análise de três campanhas de distribuição diferentes, todas direcionadas ao Brasil. O malware é sofisticado o suficiente para passar meses ativo no celular da vítima sem levantar suspeitas e, nas versões mais recentes, evoluiu para um nível de controle que permite ao criminoso operar o aparelho como se fosse o próprio dono.
O que é um Trojan Bancário e por que o BeatBanker é Diferente
O nome trojan vem da mitologia grega: assim como o Cavalo de Troia escondia soldados dentro de uma oferta aparentemente legítima, um trojan bancário se disfarça de aplicativo comum para entrar no dispositivo da vítima. Uma vez instalado, opera silenciosamente em segundo plano enquanto monitora e manipula as atividades financeiras do usuário.
O BeatBanker não é apenas mais um trojan bancário. O que o diferencia é a abordagem modular e híbrida: em vez de ter um único objetivo, como roubar senhas ou desviar transferências, ele combina múltiplos mecanismos de monetização no mesmo dispositivo comprometido. Os criminosos podem escolher qual estratégia aplicar dependendo do perfil e do comportamento da vítima.
Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, explica a gravidade do modelo:
“O BeatBanker mostra como o cibercrime mobile está adotando uma abordagem cada vez mais profissional e modular. Em vez de um único objetivo, o malware combina diferentes formas de monetização no mesmo dispositivo comprometido, desde mineração de criptomoedas até fraude bancária e espionagem digital, permitindo que os criminosos escolham a estratégia mais lucrativa em cada vítima.”
Leia Também
As Três Iscas Usadas para Enganar Brasileiros
O BeatBanker não chega até a vítima de forma aleatória. Ele é distribuído por meio de campanhas cuidadosamente construídas para explorar a confiança em instituições conhecidas e serviços populares. A Kaspersky identificou três campanhas distintas até o momento:
- A primeira usa como isca um falso aplicativo de reembolso do INSS — o Instituto Nacional do Seguro Social. A mensagem promete que o usuário tem um valor a receber e fornece um link para baixar o aplicativo que faria esse processo. O INSS confirmou que não envia esse tipo de mensagem e que toda comunicação oficial ocorre exclusivamente pelo aplicativo Meu INSS, pelo site gov.br/inss/ ou pela Central 135.
- A segunda campanha usa uma promessa de ressarcimento do FGC — o Fundo Garantidor de Créditos, entidade que protege depósitos em casos de falência de Bancos. O FGC informou que está ciente das tentativas de fraude e orienta que qualquer solicitação de dados pessoais fora dos canais oficiais deve ser desconsiderada imediatamente.
- A terceira e mais recente campanha se disfarça de aplicativo da Starlink, o serviço de internet via satélite da SpaceX que ganhou popularidade no Brasil especialmente em regiões sem cobertura de fibra óptica. A estratégia aproveita o interesse de usuários que buscam o aplicativo fora da loja oficial por desconhecimento ou pela dificuldade de encontrar o serviço em determinadas regiões.
Em todos os casos, a estratégia é a mesma: criar um site que imita o visual da Google Play Store e convencer o usuário a baixar um arquivo APK, o formato de instalação de aplicativos Android, diretamente dessa página falsa, fora da loja oficial.
Como o BeatBanker entra no Celular e se Mantém Invisível
Depois que a vítima baixa o arquivo APK e instala o aplicativo, o BeatBanker começa a trabalhar para garantir que ninguém vai perceber sua presença, e que ele vai durar o máximo possível no dispositivo.
O Truque do Arquivo de Áudio quase Inaudível
Um dos mecanismos de persistência mais incomuns identificados pela Kaspersky é a reprodução contínua de um arquivo de áudio. O BeatBanker toca em loop, sem parar, uma gravação de 5 segundos de um discurso em chinês em volume quase inaudível, tão baixo que o usuário não percebe. O arquivo se chama output8.mp3.
Por que isso? O sistema Android tem uma lógica de gerenciamento de processos que encerra aplicativos inativos para poupar bateria. Um aplicativo que está reproduzindo áudio é tratado pelo sistema como ativo e, portanto, não é encerrado por inatividade.
O BeatBanker usa esse comportamento legítimo do sistema para garantir que o processo malicioso continue rodando indefinidamente, mesmo quando o usuário não está usando o celular.
Monitoramento de Bateria e Temperatura para não Chamar Atenção
O malware também monitora continuamente o estado do dispositivo: nível de bateria, temperatura, status de carregamento e se o aparelho está sendo usado ativamente. Essas informações são enviadas para os servidores dos criminosos via Firebase Cloud Messaging, o sistema legítimo de notificações do Google, o que torna o tráfego de dados do malware praticamente indistinguível do tráfego normal de aplicativos comuns.
Com base nessas informações, o BeatBanker ajusta sua própria atividade. Se o celular estiver superaquecendo, ele reduz o processamento. Se o usuário estiver com o celular na mão e usando aplicativos, ele diminui a intensidade das operações para não degradar o desempenho de forma perceptível. É um sistema projetado especificamente para passar meses sem ser detectado.
A Tela Falsa de Atualização da Play Store
Antes de começar a operar, o BeatBanker exibe uma tela falsa de atualização da Play Store, uma interface visual que imita a aparência real das atualizações do sistema. O objetivo é convencer a vítima a conceder permissões adicionais ao aplicativo, especialmente os Serviços de Acessibilidade do Android.
Essa permissão é especialmente poderosa: ela permite que um aplicativo leia o conteúdo de qualquer tela, simule toques e cliques, e interaja com outros aplicativos sem a intervenção do usuário. É o que torna possível o desvio de transferências bancárias, descrito a seguir.
Como o BeatBanker pode Roubar o seu Dinheiro: Três Métodos Simultâneos
Método 1: Mineração de Monero no seu celular
O BeatBanker usa uma versão modificada do XMRig, um dos mineradores de criptomoeda mais conhecidos do mundo, compilada especificamente para processadores ARM, o tipo usado em smartphones Android. O malware usa o poder de processamento do celular da vítima para minerar Monero (XMR), uma criptomoeda escolhida pelos criminosos justamente por ser difícil de rastrear.
A mineração, processo pelo qual os computadores realizam os cálculos matemáticos complexos para validar transações em redes de criptomoeda e receber novas moedas como recompensa, consome muita energia e processamento.
No celular da vítima, isso se manifesta como superaquecimento, queda de desempenho e bateria que dura menos. O BeatBanker controla esses efeitos monitorando a temperatura e o uso para não exagerar e alertar o usuário.
A conexão com os servidores de mineração controlados pelos criminosos usa TLS, o mesmo protocolo de criptografia usado por sites seguros, para disfarçar o tráfego malicioso. Se a conexão principal falha, o malware usa um servidor alternativo como backup.
Método 2: Desvio de Transferências Bancárias
Quando a vítima abre um aplicativo Bancário e tenta realizar uma transferência, o BeatBanker entra em ação de forma sutil e devastadora. Ele sobrepõe uma tela falsa sobre a interface real do aplicativo Bancário, usando as permissões de Acessibilidade obtidas no início.
Essa tela falsa é visualmente idêntica à tela de confirmação real do Banco. A vítima vê os dados que digitou, confirma a operação achando que está enviando dinheiro para o destinatário correto, mas o BeatBanker já substituiu o número da conta ou a chave Pix de destino pelos dados dos criminosos. O dinheiro vai direto para a conta dos fraudadores, e a vítima só descobre quando verifica o extrato.
Essa técnica é conhecida como “Golpe da Mão Fantasma” — nome popular no Brasil para fraudes que manipulam transações sem que o usuário perceba a substituição dos dados.
Método 3: Controle Remoto Total do Dispositivo (RAT)
As versões mais recentes do BeatBanker incorporaram um componente chamado BTMOB RAT, um RAT (Remote Access Trojan, ou Trojan de Acesso Remoto) que transforma o celular infectado em um dispositivo completamente sob controle dos criminosos.
Com o BTMOB RAT ativo, os operadores do malware podem acessar remotamente o aparelho e executar as seguintes funções:
- Keylogging Em tempo real: gravação de tudo o que o usuário digita, incluindo senhas, PINs e mensagens.
- Gravação de Tela: Os criminosos veem tudo que aparece no display do celular.
- Acesso à Câmera Frontal e Traseira: Possibilidade de ativar as câmeras remotamente para filmar o ambiente.
- Rastreamento por GPS: Monitoramento da localização em tempo real.
- Captura de Credenciais de Desbloqueio: Registro do PIN, padrão ou senha usados para desbloquear o celular.
- Instalação Silenciosa de Aplicativos: Os criminosos podem instalar outros programas maliciosos sem que o usuário perceba.
Esse nível de acesso transforma o celular infectado em um instrumento completo de espionagem, muito além de uma ferramenta de fraude financeira.
Por que o Brasil é o Alvo Principal?
A Kaspersky registrou todas as infecções por BeatBanker identificadas até o momento no Brasil. Há razões concretas para esse foco.
O Brasil tem uma das maiores bases de usuários do Pix do mundo, o sistema de pagamentos instantâneos do Banco Central que movimenta trilhões de reais por ano e está instalado no celular de praticamente todos os Brasileiros.
A combinação de alto volume de transações, familiaridade com pagamentos pelo celular e confiança em serviços Governamentais cria o ambiente ideal para esse tipo de golpe.
Além disso, o nível de sofisticação das iscas usadas (INSS, FGC e Starlink) indica que os criminosos conhecem bem o contexto Brasileiro: Sabem que muitos cidadãos esperam comunicações sobre benefícios previdenciários, que o FGC é uma entidade conhecida pelo público geral e que a Starlink tem demanda represada em regiões sem boa cobertura de internet.
A Kaspersky alerta que, caso a eficácia do BeatBanker seja confirmada no Brasil, o malware pode se expandir para outros países com características similares.
Como se proteger do BeatBanker e de ameaças similares
A principal porta de entrada do BeatBanker é a instalação de aplicativos fora da Google Play Store. A proteção começa aí:
Nunca instale APKs de Fontes Externas. Se um link em uma mensagem, site ou e-mail leva a um download de aplicativo fora da Play Store, descarte imediatamente. Nas configurações do Android, é possível, e recomendável, desativar a opção “instalar aplicativos de fontes desconhecidas”.
Desconfie de Promessas de Reembolso ou Benefício Inesperado. O INSS não envia links por mensagem para processos de reembolso. O FGC também não. Antes de clicar em qualquer link relacionado a benefícios ou serviços financeiros, acesse diretamente o site oficial da instituição.
Revise as Permissões dos Aplicativos Instalados. Permissões de Serviços de Acessibilidade são especialmente sensíveis, nenhum aplicativo legítimo de uso cotidiano precisa dessas permissões para funcionar. Se um aplicativo pedir esse acesso, recuse e desinstale.
Ative o Google Play Protect. Esse recurso nativo do Android verifica periodicamente os aplicativos instalados em busca de comportamentos suspeitos. Para verificar se está ativo: Abra a Play Store, toque no ícone do perfil no canto superior direito e acesse “Play Protect”.
Mantenha o Sistema Atualizado. Atualizações do Android e dos aplicativos corrigem vulnerabilidades que malwares exploram para ganhar acesso ao sistema. Não adie atualizações de segurança.
Use uma Solução de Segurança no Celular. Ferramentas como o Kaspersky Premium conseguem detectar links maliciosos e bloquear a instalação de arquivos APK perigosos antes que o dano seja feito.
Se você suspeita que seu celular pode estar infectado, bateria acabando mais rápido que o normal, aquecimento sem uso intenso, desempenho degradado sem motivo aparente, faça uma verificação com um antivírus mobile e, se a suspeita persistir, considere restaurar o aparelho para as configurações de fábrica após salvar os dados importantes.
