Quando o celular vira chave-mestra: a nova fronteira dos golpes digitais

Texto por: Alexandre Fonte, Marcela Gomes e Hanna Wurman

Nos últimos meses, têm se multiplicado notícias sobre invasões de celulares e computadores que resultam em prejuízos milionários para usuários, envolvendo saques indevidos, transferências via PIX e até retirada de fundos em exchanges de criptomoedas. O aspecto mais alarmante é que, em muitos desses casos, as operações são realizadas dentro de todas as camadas de segurança normalmente consideradas intransponíveis — senha pessoal, token, autenticação de dois fatores, códigos por e-mail e reconhecimento biométrico.

Não se trata de falha nas instituições financeiras, nem de uma simples “senha vazada”. O que está acontecendo é mais sofisticado: o dispositivo do próprio usuário está sendo invadido — e, a partir daí, o invasor passa a agir dentro do ambiente legítimo, como se fosse o titular.

Essa nova geração de golpes e malwares tem explorado uma vulnerabilidade difícil de combater: a confiança que depositamos em nossos próprios aparelhos. O celular, o notebook, o token e o aplicativo do banco estão todos no mesmo dispositivo, que se tornou, ao mesmo tempo, o cofre e a chave.

Pesquisas recentes de empresas de segurança como Trend Micro, Kaspersky e The Hacker News revelam campanhas ativas no Brasil e na América Latina que se espalham por aplicativos populares, especialmente o WhatsApp.

  • O chamado Maverick Banker, por exemplo, é um trojan distribuído por mensagens com arquivos disfarçados (geralmente um “.ZIP” que contém um atalho malicioso), que monitora 26 sites de bancos brasileiros e 6 exchanges de criptomoedas (SecureList/Kaspersky).
  • Herodotus Trojan, mais recente, consegue burlar sistemas antifraude ao digitar como um humano, simulando comportamento legítimo e evitando detecção automatizada (The Hacker News).
  • Outro exemplo, o Rocinante Trojan, se disfarça de aplicativos bancários para Android e ativa permissões de acessibilidade para capturar credenciais e telas (The Hacker News).
  • E o malware PixPirate, identificado pela IBM, tem como alvo direto usuários brasileiros, interceptando transações financeiras e burlando sistemas de autenticação (IBM Security X-Force).

O resultado é devastador: o hacker passa a ver o que o usuário vê, digitar o que ele digita e confirmar o que ele confirma. Com o controle do dispositivo, não há barreira técnica que o impeça de realizar transações, acessar carteiras digitais ou autorizar saques.

E há um fator adicional que torna esses casos especialmente complexos: as operações são executadas a partir do mesmo endereço IP e do mesmo dispositivo que o usuário costuma utilizar.

Para quem não é técnico, vale explicar: o “IP” é como um endereço digital — ele identifica o aparelho conectado à internet, como o número de uma casa no mundo virtual. Quando você acessa seu banco pelo celular de sempre, o sistema reconhece esse IP como legítimo. Isso faz parte das camadas de proteção que ajudam as instituições a bloquear tentativas suspeitas (por exemplo, acessos a partir de outros países).

O problema é que, quando o próprio dispositivo é invadido, as transações continuam a sair do mesmo IP confiável. O hacker não precisa falsificar nada: ele já está dentro da “casa” do usuário. Do ponto de vista dos sistemas de segurança do banco ou da exchange, tudo parece normal — o acesso vem do mesmo aparelho, mesmo IP, mesma geolocalização, mesma sequência de login e até, em muitos casos, com a biometria real do titular.

Esse detalhe explica por que as empresas, em boa parte das situações, têm pouquíssimo espaço de atuação imediata. As instituições financeiras e exchanges operam com protocolos de segurança rigorosos e sistemas de autenticação em múltiplos fatores; no entanto, quando o ataque ocorre dentro do ambiente do cliente, essas defesas se tornam impotentes.

Imagine que o invasor consiga acesso remoto ao celular — ele abre o aplicativo bancário, insere a senha (ou aproveita a sessão já logada), confirma o token, recebe o e-mail de validação no mesmo aparelho e autoriza a operação. Tudo dentro do “padrão comportamental” esperado. Para o sistema antifraude, essa é uma operação legítima.

É o que especialistas chamam de “ataque a partir de endpoint comprometido” — quando o elo mais vulnerável da cadeia de segurança é o próprio dispositivo do usuário.

Casos recentes reforçam a gravidade desse cenário:

  • O malware Herodotus foi projetado para enganar até mesmo sistemas antifraude de bancos, usando simulação de digitação humana (The Hacker News);
  • Maverick se espalhou via WhatsApp e tinha o Brasil como um dos principais alvos (Kaspersky SecureList);
  • E, em 2024, o malware PixPirate foi responsável por centenas de fraudes em instituições brasileiras (IBM Security X-Force).

Diante disso, é fundamental reforçar o que ainda pode ser feito — porque, se as empresas têm limites de ação, os usuários precisam reforçar a prevenção.

  1. Nunca instale aplicativos fora das lojas oficiais. Muitos malwares se disfarçam de atualizações, ferramentas financeiras ou apps “premium” enviados por WhatsApp (Trend Micro).
  2. Evite concentrar todas as credenciais no mesmo aparelho. Idealmente, mantenha o app de autenticação (token, 2FA) em outro dispositivo ou use chaves físicas de segurança.
  3. Desconfie de qualquer arquivo, link ou mensagem recebida — mesmo de contatos conhecidos. Golpistas usam contas clonadas para espalhar o malware.
  4. Mantenha o sistema sempre atualizado. As atualizações de segurança corrigem vulnerabilidades que os criminosos exploram rapidamente.
  5. Use antivírus e firewalls confiáveis, inclusive para dispositivos móveis.
  6. Ative notificações de login e transações. Quanto mais rápido o usuário souber de uma atividade suspeita, maior a chance de reagir a tempo.
  7. Faça backups regulares e evite armazenar senhas, tokens ou códigos de autenticação em e-mails, prints ou aplicativos de notas.

A mensagem central é simples, mas profunda: a segurança digital não termina na autenticação. Ela começa na proteção do ambiente onde essa autenticação acontece.

Podemos — e devemos — exigir que instituições financeiras, fintechs e exchanges invistam em mecanismos antifraude mais sofisticados, como análise comportamental e verificação cruzada de dispositivos. Mas, enquanto o elo humano e o dispositivo pessoal continuarem expostos, o risco persistirá.

No fim das contas, a tecnologia é apenas tão segura quanto o menor dos seus elos. E, hoje, esse elo é o nosso próprio celular.

Fontes consultadas: