Uma publicação recente feita pelo perfil @akaclandestine na plataforma X revelou detalhes técnicos sobre um malware Android capaz de executar transferências via PIX de forma automatizada.
O conteúdo, acompanhado de um vídeo demonstrativo, mostra a operação de uma ferramenta conhecida como ATS, sigla para Automatic Transfer System ou na tradução literal Sistema de Transferência Automática.
A análise indica que o malware está sendo distribuído no modelo FaaS, ou Fraud as a Service, permitindo que operadores utilizem a estrutura mediante pagamento, sem necessidade de desenvolvimento próprio.
Funcionamento do ATS e exploração de permissões
De acordo com as informações divulgadas, o malware atua diretamente sobre aplicativos bancários instalados no dispositivo infectado. O sistema utiliza permissões de acessibilidade e sobreposição de tela para interagir com a interface do usuário.
Essas permissões permitem que o malware monitore ações em tempo real e execute comandos automaticamente. Entre as capacidades identificadas estão leitura de entradas digitadas, navegação entre aplicativos e execução de transferências financeiras.
O comportamento descrito indica que o sistema consegue operar como um mecanismo automatizado de transferência, acessando o saldo disponível e realizando envios via PIX sem necessidade de interação direta do operador no momento da transação.
Vídeo demonstra painel de controle e execução do ataque
O vídeo associado à publicação apresenta uma demonstração técnica do funcionamento do malware. A gravação mostra inicialmente um dispositivo com aplicativo bancário aberto, seguido pela sincronização com um painel de controle.
Na sequência, é exibida a interface denominada “Art the Clown”, onde operadores visualizam dispositivos conectados e acompanham atividades em tempo real. O painel inclui registros detalhados de ações, como:
- teclas digitadas
- aplicativos acessados
- interações do usuário
- dados capturados em tempo real
Também é possível observar um emulador do dispositivo comprometido, permitindo que o operador interaja remotamente com o aparelho.
Durante a demonstração, o sistema registra entradas digitadas e navegação no aplicativo bancário, evidenciando a capacidade de monitoramento contínuo e execução de comandos.
Infraestrutura e controle das operações
A estrutura apresentada inclui um painel web utilizado para gerenciar dispositivos infectados. Entre as funcionalidades descritas está a possibilidade de alterar chaves PIX de destino em tempo real, além de acompanhar o status das transações.
O painel também centraliza logs operacionais, permitindo aos operadores acompanhar eventos e interações nos dispositivos comprometidos. Essa arquitetura indica um modelo estruturado de operação, com foco em escalabilidade.
Modelo de comercialização como serviço
O conteúdo analisado aponta que o malware está sendo oferecido em grupos de fraude com modelo de assinatura. Os valores mencionados incluem planos semanais e módulos adicionais voltados para técnicas de engenharia social.
Esse formato permite que diferentes operadores utilizem a ferramenta, ampliando o alcance das campanhas e reduzindo a necessidade de conhecimento técnico avançado para execução das fraudes.
Instituições financeiras mencionadas como alvo
A análise cita que o malware é direcionado a aplicativos de instituições financeiras populares no Brasil, incluindo plataformas como PagSeguro, Mercado Pago, Iti, C6, PicPay e Neon.
O foco nessas plataformas está relacionado à ampla base de usuários e à integração com o sistema de pagamentos instantâneos PIX.
Técnicas de evasão e adaptação
Segundo a publicação, o malware é promovido com capacidade de evasão a mecanismos de segurança, incluindo soluções nativas do sistema Android e ferramentas antivírus.
Além disso, o sistema pode ser adaptado a diferentes cenários de engenharia social, como abordagens de falso suporte, com o objetivo de induzir usuários a conceder permissões necessárias para a execução do ataque.
Cenário atual de ameaças móveis no Brasil
O caso reforça a evolução das ameaças móveis no ambiente financeiro brasileiro, com a utilização de automação e modelos de serviço para operacionalização de fraudes.
A combinação de acesso a permissões críticas, controle remoto de dispositivos e execução automatizada de transações representa um avanço técnico em relação a campanhas anteriores, que dependiam de maior intervenção manual.
Diante desse cenário, a circulação de ferramentas como o ATS indica um movimento de profissionalização das operações, com uso de infraestrutura dedicada e modelos comerciais estruturados.
Agora, olhando para esse tipo de operação, até que ponto você acredita que a automação pode ampliar o alcance das fraudes digitais nos próximos anos?
