Trojan bancário usa INSS como isca para roubar dinheiro de vítimas
Um trojan bancário chamado BeatBanker está sendo usado por cibercriminosos para aplicar golpes financeiros em brasileiros, utilizando o nome do INSS como isca. A ameaça, identificada por pesquisadores da Kaspersky, se espalha por meio de um site falso que imita a Google Play Store e oferece um aplicativo malicioso chamado "INSS Reembolso". Após ser instalado no celular da vítima, o malware age silenciosamente para interceptar transações bancárias, minerar criptomoedas e até permitir o controle remoto do dispositivo.
Em entrevista ao TechTudo, o Lead Security Researcher da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, Fabio Assolini, detalhou o funcionamento do golpe e alertou para os riscos de instalar apps fora das lojas oficiais. A seguir, confira os detalhes.
🔎 Vírus bancário ataca celulares e sequestra Pix em tempo real; saiba se proteger
📲 Comparador de celulares do TechTudo: como usar a ferramenta e economizar
Trojan bancário usa INSS como isca para roubar dinheiro de vítimas
Mariana Saguias/TechTudo
📝 Pix e Picpay é a mesma coisa? Veja no fórum do TechTudo
Índice
O que é o novo trojan e como ele usa o nome do INSS para enganar vítimas
Como funciona o golpe dos aplicativos falsos que imitam a Play Store
Trojan consegue acessar apps bancários e alterar transferências Pix
Quais sinais indicam que uma mensagem ou ligação supostamente do INSS pode ser falsa
Por que baixar APK fora da loja oficial ainda é um dos maiores riscos no Android
O que fazer imediatamente após instalar um app suspeito ou notar movimentações estranhas na conta
O que é o novo trojan e como ele usa o nome do INSS para enganar vítimas
O BeatBanker é um trojan bancário brasileiro voltado para dispositivos Android que já circula em diferentes campanhas ao longo do ano. A cada novo ciclo, os criminosos mudam o tema da isca — reembolso do INSS, ressarcimento do FGC ou até aplicativos populares como Starlink — mas a mecânica permanece a mesma: convencer a vítima a instalar voluntariamente o arquivo malicioso.
"A estratégia é tornar os golpes mais convincentes e aumentar as chances de a vítima baixar o aplicativo malicioso ou fornecer informações pessoais", explica Fabio Assolini.
O INSS é uma isca eficiente porque combina enorme alcance popular com acesso a dados sensíveis. Serviços públicos essenciais geralmente são explorados em campanhas de engenharia social justamente porque milhões de brasileiros dependem deles para receber benefícios, acompanhar solicitações e realizar procedimentos importantes.
Ao simular canais oficiais e prometer reembolsos, os criminosos conseguem pressionar vítimas a clicar em links, baixar aplicativos falsos ou fornecer dados pessoais sem verificar a autenticidade do contato.
Além do BeatBanker, dados coletados por usuários do Kaspersky Who Calls — ferramenta de identificação de chamadas da empresa — mostram que termos como "INSS", "previdência" e "prova de vida" aparecem com frequência em relatos de golpes por telefone.
Nessas ligações, criminosos se passam por funcionários do instituto para pedir dados pessoais, senhas, fotos de documentos ou pagamentos de falsas taxas administrativas.
Entenda como novo trojan age
Reprodução/Freepik
Como funciona o golpe dos aplicativos falsos que imitam a Play Store
O golpe começa em uma página fraudulenta criada para se parecer visualmente com a Google Play Store. O nível de imitação é alto o suficiente para enganar usuários desatentos: a página replica elementos da loja oficial e apresenta o aplicativo "INSS Reembolso" como uma solução legítima vinculada ao instituto. A vítima chega até a página por links distribuídos via SMS, WhatsApp, redes sociais, e-mails ou anúncios falsos.
"Nessas páginas, os golpistas induzem o usuário a baixar um arquivo APK malicioso fora da loja oficial e, após a instalação, o malware passa a atuar silenciosamente no aparelho", detalha Assolini.
Para instalar o arquivo, o usuário precisa liberar manualmente a instalação de fontes desconhecidas no Android. É justamente essa permissão que permite ao BeatBanker contornar os filtros de segurança da Google Play e entrar no aparelho. Mas a ameaça não se limita a páginas falsas.
"Outra tática utilizada pelos cibercriminosos é a publicação de aplicativos maliciosos na própria loja oficial, muitas vezes como versões 'em teste', que são pouco visíveis ao público geral, acessíveis apenas por links enviados diretamente às vítimas", alerta o pesquisador.
Nesse cenário, o usuário acredita estar baixando um app confiável, o que dificulta ainda mais a identificação do golpe tanto pela plataforma quanto pela própria vítima.
Especialista explica como funciona o golpe em apps falsos
Reprodução/FellowNeko/Shutterstock
Trojan consegue acessar apps bancários e alterar transferências Pix
Depois de instalado, o BeatBanker usa uma estratégia incomum para continuar ativo em segundo plano sem ser desligado pelo sistema operacional: ele reproduz continuamente um áudio quase inaudível — o "beat" silencioso que deu nome ao malware. O trojan opera discretamente enquanto o usuário utiliza o celular normalmente. A ação começa quando ele detecta a abertura de aplicativos financeiros.
"Ao detectar uma transação, exibe uma tela falsa sobre a interface legítima do banco. Essa sobreposição pode induzir a vítima a confirmar uma operação manipulada ou alterar secretamente o destinatário da transferência para contas controladas pelos cibercriminosos", explica Assolini.
O malware também funciona como um trojan de acesso remoto (RAT), permitindo que criminosos controlem o aparelho à distância — modalidade conhecida como "Mão Fantasma", em que operações são realizadas sem interação da vítima.
Os prejuízos podem incluir transferências fraudulentas, desvio de Pix, roubo de credenciais e até o uso do dispositivo para minerar a criptomoeda Monero (XMR), o que também pode provocar superaquecimento e queda de desempenho. Além de atingir aplicativos bancários, o BeatBanker também é capaz de monitorar praticamente toda a atividade do usuário no aparelho.
"O BeatBanker pode registrar tudo o que é digitado no aparelho (keylogging), capturar senhas, PINs e padrões de desbloqueio, acessar localização via GPS, gravar áudio e vídeo pelas câmeras frontal e traseira e instalar aplicativos silenciosamente", detalha o pesquisador.
Entenda ação do trojan para acessar apps bancários e roubar Pix
Shutterstock
Quais sinais indicam que uma mensagem ou ligação supostamente do INSS pode ser falsa
O principal elemento dos golpes ligados ao INSS é a criação de urgência. Ameaças de bloqueio imediato de benefício, prazos curtos para regularização cadastral e promessas de reembolso com data limite são usados para pressionar a vítima antes que ela consiga verificar a autenticidade do contato.
"Pedidos de ação imediata, ameaças de bloqueio de benefício, solicitação de senhas ou pedidos de pagamento são sinais de golpe", lista Assolini.
O pesquisador também recomenda desconfiar de URLs suspeitas, permissões excessivas e aplicativos acessados fora dos canais oficiais. Nas ligações fraudulentas, os criminosos usam temas como prova de vida, atualização cadastral e liberação de reembolso para convencer a vítima a compartilhar informações pessoais, realizar pagamentos falsos ou instalar aplicativos enviados durante o contato.
O INSS não solicita senhas, fotos de documentos nem pagamentos de taxas administrativas por telefone, e qualquer abordagem desse tipo deve ser tratada como suspeita. Em caso de dúvida, a recomendação é encerrar o contato e buscar atendimento diretamente pelo aplicativo Meu INSS ou pelo portal oficial do Governo Federal.
Especialista aponta quais são os sinais de golpe
Mariana Saguias/TechTudo
Por que baixar APK fora da loja oficial ainda é um dos maiores riscos no Android
Quando um usuário instala um APK enviado por link, ele precisa desativar manualmente uma proteção nativa do Android, que é a restrição a fontes desconhecidas. É nessa brecha que o BeatBanker e outros malwares bancários conseguem entrar no aparelho.
"A instalação de APKs fora da Google Play continua sendo uma das principais portas de entrada para malware no Android. Os criminosos exploram justamente a confiança do usuário em aplicativos aparentemente legítimos para induzir o download de arquivos infectados", afirma Assolini.
Mesmo apps disponíveis na loja oficial exigem atenção. Versões "em teste" acessíveis apenas por links diretos e desenvolvedores desconhecidos são sinais de alerta importantes. Também vale observar as permissões solicitadas durante a instalação.
Aplicativos que pedem acesso aos "Serviços de Acessibilidade" sem justificativa clara representam um forte sinal de risco, já que essa é uma das permissões mais exploradas por malwares bancários para sobrepor telas falsas e capturar dados digitados.
"Mesmo quando o aplicativo estiver disponível na loja oficial, é importante verificar o nome do desenvolvedor, a quantidade de downloads, avaliações e permissões solicitadas", recomenda o pesquisador.
Veja riscos de baixar apps APK
Mariana Saguias/TechTudo
O que fazer imediatamente após instalar um app suspeito ou notar movimentações estranhas na conta
Ao perceber movimentações não reconhecidas na conta ou suspeitar de um aplicativo instalado recentemente, o primeiro passo é desconectar o celular da internet — tanto Wi-Fi quanto dados móveis. Isso interrompe a comunicação do malware com os servidores controlados pelos criminosos.
"A orientação é desconectar o aparelho da internet, remover o aplicativo suspeito, executar uma varredura com uma solução de segurança confiável e alterar imediatamente senhas bancárias e da conta gov.br", orienta Assolini.
O pesquisador também recomenda entrar em contato com o banco para bloquear transações, monitorar movimentações financeiras e registrar boletim de ocorrência em casos de fraude. A troca de senhas deve ser feita a partir de outro dispositivo, já que o celular comprometido pode estar registrando tudo o que é digitado. O boletim de ocorrência também ajuda a documentar o caso e facilitar contestações junto ao banco.
A maioria dos golpes descritos nesta reportagem depende de decisões tomadas sob pressão. Desconfiar de mensagens alarmistas, evitar downloads fora das lojas oficiais e verificar informações diretamente em canais legítimos continuam sendo algumas das principais formas de proteção.
"Para reduzir os riscos de ser vítima deste tipo de golpe, recomendamos baixar aplicativos apenas nas lojas oficiais, nunca instalar APKs enviados por links e manter o sistema operacional e os aplicativos sempre atualizados", conclui Assolini.
Veja o que fazer após perceber movimentações indevidas
Reprodução/Freepik
Com informações de Kaspersky
Mais do TechTudo
🎥Veja também: GOLPE DO SILÊNCIO no celular? Entenda e saiba como evitar!
GOLPE DO SILÊNCIO no celular? Entenda e saiba como evitar!