Novo trojan bancário ataca celulares Android em busca de apps de finanças

Há novos trojans bancários para Android que estão ativos e têm como alvo apps financeiros. A seguir resumo o que está se sabendo, como funcionam, quais riscos para usuários no Brasil e algumas recomendações de segurança.

---

✅ O que está acontecendo

Alguns dos casos mais recentes:

• O malware Herodotus foi identificado como um trojan bancário Android que mira dispositivos na Itália e no Brasil, realizando ataques de “device takeover” (tomada de controle do dispositivo).
• O malware Klopatra (também chamado “Klopatra” em algumas fontes) foi descoberto atingindo mais de 3.000 dispositivos em Espanha e Itália, combinando RAT (acesso remoto) + ataques de overlay pra roubar credenciais bancárias.
• Uma outra campanha destacada da ToxicPanda, focada na Europa, usava sobreposições (“overlay attacks”) para roubar dados de apps de bancos ou carteiras de criptomoedas.
• Em geral, os trojans se disfarçam como apps legítimos (utilitários, notícias, verificação de faturas, etc.), pedem permissões de acessibilidade ou administração do dispositivo, instalam-se ocultamente, monitoram o que está instalado no telefone e direcionam ataques contra apps financeiros que o usuário tem. Por exemplo: o trojan envia ao servidor criminoso informação sobre quais apps financeiros/bancos o dispositivo tem instalado.

---

⚠️ Como eles funcionam

Principais vetores e técnicas:

• Disfarce: O app malicioso se apresenta como algo “inofensivo” (leitor de notícias, verificador de faturas, utilitário, “app do governo”, etc.). Exemplo: o trojan Zanubis se apresentou como um app de verificação de faturas ou como app bancário local.
• Pedir permissões de Serviços de Acessibilidade (Accessibility Service) ou controle do dispositivo: Isso permite ao malware monitorar telas, interceptar toques, inserir sobreposições (overlays) sobre apps legítimos, ocultar notificações e ocultar sua presença.
• Overlay attack: Quando você abre seu app bancário, o malware coloca uma camada falsa por cima (parecida com seu app real), captura seu login/senha e mesmo realiza transações ou interações sem que você perceba. Exemplos em ToxicPanda e Klopatra.
• Controle remoto/rat: O malware pode dar controle remoto ao criminoso, esconder sons/notificações, fazer o dispositivo operar “por trás”.
• Verificação de quais apps financeiros estão instalados: Isso ajuda o criminoso a decidir qual banco/carteira atacar.

---

🇧🇷 Situação no Brasil

• O fato de o Herodotus já ter sido identificado “na Itália e no Brasil” indica que o Brasil está dentro do escopo de risco.
• Mesmo que o foco inicial seja Europa ou Ásia, essas ameaças podem se adaptar e chegar ao Brasil.
• Como o Brasil tem muitos usuários de bancos via app e sistema Android majoritário, é um ambiente propício para esse tipo de ameaça.

---

🛡 Como se proteger

Aqui vão boas práticas (e adaptadas para usuários no Brasil):

1. Faça download apenas de apps oficiais na Google Play Store ou nas lojas oficiais dos fabricantes. Evite instalar APKs de fontes desconhecidas.
2. Verifique permissões dos apps: Se um aplicativo de notícias ou de utilitário pedir “acessibilidade”, “controle de dispositivo”, “instalar outros apps”, pergunte se isso faz sentido para aquela função. Se não, recuse.
3. Use solução de segurança reconhecida no seu smartphone (antivírus/malware para Android) e mantenha o sistema operacional atualizado.
4. Fique alerta para apps que prometem “resolver seus boletos”, “verificar faturas”, “atualizar seu bank-app” por link externo ou que chegam via mensagens suspeitas.
5. Ative autenticação em dois fatores (2FA) sempre que possível nos seus apps bancários/fintechs — embora nem sempre isso impeça um trojan sofisticado, dificulta bastante.
6. Verifique periodicamente se não há aplicativos instalados que você não reconhece. Se achar algo estranho — como um utilitário que você não instalou — considere remover ou reinstalar o aparelho.
7. Eduque familiares/amigos (principalmente os menos experientes) para não clicar em links recebidos por SMS/WhatsApp que prometem algo urgente, instalar apps dessa forma, ou conceder permissões desconhecidas.

---

Há vários relatórios recentes que confirmam que o Brasil está sob ataque de trojans bancários para Android, com modos de operação bem focados em apps financeiros. Aqui vai um resumo bem completo com o cenário local, famílias envolvidas, modus operandi e recomendações — se quiser, posso também te mandar o PDF ou link completo de alguns desses relatórios.

---

📊 Cenário no Brasil

• O país concentrou mais de 80% das detecções de trojans bancários na América Latina entre agosto de 2024 e junho de 2025, segundo a Kaspersky.
• Nesse período foram bloqueadas cerca de 1,5 milhão de tentativas de ataque no Brasil — média ~4.100 por dia.
• Em 2024, o número de roubos de dados bancários em smartphones subiu de ~420 mil em 2023 para ~1,2 milhão globalmente, e o Brasil aparece como um dos alvos principais para mobile.
• Em 2024 também foram apontadas “FakePay” como 97% das tentativas de malware para smartphones no Brasil, ou seja, apps maliciosos que simulam pagamentos ou operam como golpe financeiro.

---

🔍 Exemplos de famílias / campanhas no Brasil

• A família de malware Guildma (originalmente desktop) foi investigada por evitar ser derrubada, controlando domínios, C2 dinâmicos, etc. No Brasil atua faz tempo.
• Uma nova cepa chamada Rocinante foi identificada “originária do Brasil”, voltada para Android, com keylogging, abuso de serviço de acessibilidade, dispositivos móveis como alvo direto.
• Outra: Necro — trojan bancário encontrado na Google Play (ou versões modificadas) que visou usuários brasileiros.
• Além disso, há menção de um trojan recém-detectado chamado PixPirate no Brasil, voltado para Android e voltado para golpes com PIX.

---

🧠 Como esses trojans realmente operam

• Muitos apps vem disfarçados como utilitários comuns, apps de courier, apps bancários falsos ou “atualizações de segurança”. No caso de Rocinante, por exemplo, o usuário instala pensando que é legítimo — e concede permissões elevadas (acessibilidade) que permitem controle total do dispositivo.
• Técnica de overlay: ao abrir o app bancário legítimo, o malware coloca uma camada falsa por cima para capturar login, senha, autenticação. (Confirmado no relatório Rocinante)
• Keylogging e captura de tela: no caso brasileiro, os trojans registram toques, gestos, enviam dados para o servidor dos criminosos.
• Automação de transações (DTO — Device Takeover): o criminoso pode controlar o aparelho remotamente e realizar transações sem que a vítima perceba. (Mencionado no relatório da Kaspersky para o Brasil)
• Persistência: uso de múltiplos domínios, subdomínios, C2 redundantes para continuar ativo mesmo após bloqueios — exemplo Guildma.

---

🛡 Recomendações — foco Brasil / Android

As medidas básicas + algumas específicas para esse cenário:

• Baixe somente apps de fontes oficiais (Google Play) — e mesmo assim, verifique desenvolvedor, número de downloads, reputação.
• Não instale APKs de fontes desconhecidas ou via links em SMS/WhatsApp. Muitos casos começam por links de phishing.
• Verifique permissões: se um app “utilitário simples” pede acesso a serviços de acessibilidade, controle do dispositivo ou instalação de outros apps — desconfie.
• Mantenha sistema operacional e todos apps atualizados — as atualizações corrigem falhas que malwares exploram.
• Use solução de segurança mobile confiável (antivírus/antimalware Android) para proteger seu dispositivo.
• Ative autenticação de dois fatores por app de autenticação ou token físico sempre que possível (evite apenas SMS).
• Faça backup dos dados importantes — caso seu aparelho seja comprometido, você poderá restaurar de forma mais segura.
• Fique alerta a mensagens que criam urgência ou pedem instalação de app ou link de pagamento/fatura — phishing comum.
• Verifique periodicamente apps instalados: se há algo que você não lembra de instalar ou que parece estranho, investigue/remova.