GoPix se firma como o trojan financeiro mais sofisticado em atuação no Brasil
A mais recente análise da Kaspersky revela um salto preocupante na evolução do GoPix, um trojan bancário desenvolvido no Brasil que hoje é classificado pela empresa como a ameaça financeira mais avançada em operação no país. Em atividade desde dezembro de 2022, o malware passou por sucessivas melhorias e agora é capaz de desviar pagamentos via Pix, boletos bancários e transações em criptomoedas sem levantar suspeitas das vítimas, segundo explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para América Latina e Europa.
O grande diferencial do GoPix está na forma como ele combina técnicas de engenharia social, manipulação de dados e contorno de mecanismos de segurança. Diferentemente de golpes tradicionais que dependem de links duvidosos em mensagens, o trojan se apoia em anúncios pagos maliciosos exibidos em páginas de resultado de busca. Esses anúncios se passam por serviços amplamente conhecidos, como WhatsApp, Google Chrome ou até páginas que simulam sites de órgãos de entrega de encomendas.
Quando o usuário clica nesse anúncio malicioso, em vez de ser direcionado ao serviço legítimo, ele é levado para uma página criada pelos criminosos. Essa página não instala o malware imediatamente: antes, realiza uma espécie de “triagem” para checar se o visitante é um alvo interessante, como clientes de bancos brasileiros, pessoas que movimentam criptomoedas ou funcionários de instituições financeiras, incluindo órgãos governamentais. Só após essa verificação é que o site fraudulento oferece o download do GoPix, apresentando-o como se fosse o aplicativo genuíno que a pessoa estava procurando.
Depois que o trojan é instalado em computadores com sistema operacional Windows, ele passa a monitorar de forma contínua tudo o que é copiado e colado no aparelho. Essa funcionalidade é a base do golpe financeiro. Se a vítima copia uma chave Pix, um código de boleto bancário ou o endereço de uma carteira de criptomoedas, o GoPix é capaz de substituir, no momento da colagem, aquela informação legítima por outra, controlada pelos criminosos. O usuário acredita estar pagando a pessoa ou empresa correta, mas o dinheiro é automaticamente desviado para contas ou carteiras sob controle do grupo criminoso.
O ataque não se limita à manipulação da área de transferência. O GoPix também faz uso de arquivos de proxy para controlar e redirecionar o tráfego de internet do computador infectado. Esse recurso permite aos invasores interceptar e alterar informações enquanto o usuário navega em sites bancários verdadeiros. Na prática, o criminoso se coloca no meio da conexão entre o navegador e o banco, com a possibilidade de visualizar, modificar ou registrar dados sensíveis, como logins, senhas e valores de transações.
Uma das capacidades mais sofisticadas do GoPix é a forma como ele consegue burlar conexões seguras baseadas em HTTPS. Normalmente, esse protocolo garante que a comunicação entre o navegador e o site seja criptografada e protegida. Contudo, o trojan injeta um certificado digital falso diretamente na memória do navegador, fazendo com que a aplicação passe a reconhecer essa identidade fraudulenta como confiável. Assim, o malware assume o papel de intermediário invisível na comunicação, mantendo a aparência de conexão segura (com cadeado e HTTPS) para o usuário, enquanto captura e manipula dados.
Esse certificado falso não é instalado no sistema operacional como um certificado tradicional; ele permanece apenas na memória, em uso temporário pelo navegador. Dessa forma, fica praticamente impossível de ser notado pelo usuário comum e até por alguns mecanismos básicos de verificação do sistema. É exatamente essa combinação de furtividade e capacidade de interferir em conexões protegidas que faz o GoPix ser considerado hoje uma das ameaças financeiras mais sofisticadas do cenário nacional.
Diante desse avanço do cibercrime focado em finanças, a Kaspersky reforça um conjunto de recomendações de segurança. A primeira delas é a desconfiança sistemática em relação a anúncios pagos exibidos em mecanismos de busca, mesmo quando parecem apontar para serviços ou marcas muito conhecidas. Sempre que possível, o ideal é digitar manualmente o endereço do site desejado na barra do navegador ou usar atalhos e favoritos já salvos, em vez de clicar em resultados patrocinados.
Outro ponto essencial é baixar programas e aplicativos exclusivamente dos sites oficiais dos desenvolvedores ou das lojas oficiais de aplicativos. Arquivos obtidos em páginas desconhecidas ou por meio de anúncios suspeitos aumentam drasticamente o risco de infecção. Ferramentas de segurança confiáveis, como suítes antivírus completas, também são parte crucial da proteção: elas ajudam a identificar comportamentos maliciosos, bloquear downloads perigosos e impedir que trojans como o GoPix consigam se instalar e atuar de forma silenciosa.
Manter o sistema operacional, navegadores e plug-ins sempre atualizados reduz significativamente a superfície de ataque. Muitas campanhas de malware se aproveitam de falhas em versões desatualizadas de software para conseguir acesso privilegiado ou contornar mecanismos de segurança. Atualizações regulares corrigem vulnerabilidades conhecidas e dificultam a vida dos invasores. Da mesma forma, é recomendável revisar periodicamente certificados e configurações de segurança do navegador, especialmente em ambientes corporativos, adotando políticas para impedir a instalação de certificados não autorizados.
O caso do GoPix ilustra também a profissionalização do crime digital financeiro brasileiro. Em vez de ataques genéricos e mal elaborados, os criminosos têm investido em campanhas direcionadas, testes de engenharia social mais sofisticados e modelos de negócio que lembram estruturas empresariais. A utilização de anúncios pagos, por exemplo, mostra que há investimento direto de dinheiro do próprio grupo criminoso para ampliar o alcance do golpe, com retorno potencial muito maior graças à automação do desvio de recursos.
Para empresas e instituições financeiras, o surgimento de ameaças como o GoPix exige um olhar mais amplo sobre segurança. Não basta proteger apenas os servidores internos ou os aplicativos de internet banking; é fundamental considerar que o elo fraco muitas vezes está no dispositivo do cliente. Campanhas educativas, alertas frequentes sobre golpes, orientação para que usuários verifiquem sempre o destinatário antes de concluir transferências e a oferta de camadas extras de autenticação podem mitigar parte dos riscos.
Além disso, soluções de monitoramento de fraudes que analisem padrões de comportamento em transações Pix, pagamentos de boletos e movimentações em criptomoedas ajudam a identificar anomalias que podem indicar a ação de trojans. Variações abruptas de valores, mudanças súbitas de destinatários frequentes ou repetições suspeitas de transações são sinais que podem acionar mecanismos de revisão e bloqueio temporário, evitando prejuízos maiores enquanto o caso é investigado.
No ambiente doméstico, pequenos cuidados fazem diferença. Antes de confirmar uma transferência via Pix ou o pagamento de um boleto, é recomendável conferir atentamente o nome do recebedor e, quando possível, validar essas informações por um segundo canal, como contato direto com a empresa ou pessoa beneficiária. No caso de criptomoedas, checar o endereço da carteira em mais de uma etapa, sem depender apenas de copiar e colar, reduz o impacto de qualquer troca fraudulenta de dados feita por malwares.
Usuários que perceberem comportamentos estranhos no computador – como redirecionamentos inesperados, erros recorrentes ao acessar bancos, alterações em valores na tela ou falhas frequentes na autenticação – devem considerar a possibilidade de infecção. Nesses casos, é importante interromper imediatamente o uso para operações financeiras, realizar uma varredura completa com uma solução de segurança confiável e, se necessário, buscar suporte técnico especializado. Em muitas situações, a reinstalação limpa do sistema é a forma mais segura de remover completamente trojans avançados.
O avanço do GoPix mostra que o cenário de ameaças financeiras no Brasil está em rápida transformação. A combinação de engenharia social, exploração de recursos legítimos de publicidade online, manipulação de área de transferência e quebra de confiança em conexões HTTPS aponta para uma nova geração de malwares que não se contentam mais em apenas roubar credenciais. Agora, o objetivo é assumir o controle integral do fluxo de dinheiro digital, do início ao fim da transação, sem deixar rastros óbvios.
Nesse contexto, segurança deixa de ser uma preocupação apenas técnica e passa a ser um elemento estratégico tanto para usuários quanto para empresas. Entender como golpes como o GoPix funcionam, reconhecer sinais de risco e adotar rotinas de proteção contínua são passos indispensáveis para reduzir a exposição a esse tipo de ameaça, que tende a evoluir e se sofisticar ainda mais nos próximos anos.