Brasil atraviesa una nueva ola de ciberestafas financieras impulsada por malware cada vez más sofisticado. Investigaciones recientes revelan campañas contra usuarios bancarios, transferencias Pix y wallets, utilizando técnicas avanzadas.

Malware móvil pone en la mira a los pagos instantáneos en Brasil

Una nueva generación de malware para Android está intensificando los ataques contra usuarios en Brasil, con especial foco en el sistema de pagos instantáneos Pix. Según difundió The Hacker News, investigadores detectaron varias familias de malware capaces de robar información del dispositivo y manipular transferencias bancarias, en el marco de una nueva y creciente ola de fraudes digitales en el país.

Uno de los casos más llamativos es PixRevolution, un troyano bancario diseñado específicamente para interceptar transferencias de Pix en tiempo real. El malware permanece oculto en el dispositivo hasta que el usuario inicia un pago y, en ese momento, un operador (humano o automatizado) observa la pantalla del teléfono de la víctima para intervenir justo durante la transacción. Mientras el usuario ve un mensaje de espera en la aplicación, el programa sustituye la clave Pix del destinatario por la del atacante, desviando el dinero sin que la víctima note nada extraño.

Desde la perspectiva del usuario, la operación parece completarse con normalidad. La aplicación muestra una pantalla de confirmación y el dinero se debita. El problema suele descubrirse mucho después, cuando la víctima advierte que el dinero fue enviado a otra cuenta. Debido a que las transferencias de Pix son instantáneas y definitivas, recuperar los fondos resulta extremadamente difícil, lo que convierte a este tipo de malware en una herramienta especialmente peligrosa y dañina.

Un innovador troyano bancario apunta a 33 entidades financieras

A lo anterior se suma VENON, un nuevo malware bancario descubierto recientemente que también apunta a usuarios de Brasil. El programa malicioso, identificado por la empresa ZenoX, infecta computadoras con Windows y destaca por estar desarrollado en Rust, un lenguaje poco habitual en los troyanos bancarios latinoamericanos.

El malware comparte varias tácticas con amenazas conocidas que históricamente han atacado a usuarios de la región, como Grandoreiro, Mekotio y Coyote. Entre ellas, el uso de pantallas superpuestas falsas (overlays) para robar credenciales bancarias y la vigilancia constante de las aplicaciones abiertas en el equipo. VENON puede activarse cuando detecta el uso de servicios de hasta 33 bancos y plataformas financieras, momento en el que muestra interfaces falsas diseñadas para capturar datos sensibles del usuario.

Además, los investigadores detectaron una técnica específica para clientes del banco Itaú. El malware secuestra accesos directos del sistema y redirige a la víctima hacia páginas que imitan el servicio legítimo del banco. Una vez obtienen la información, los operadores pueden incluso restaurar los accesos originales para borrar rastros, lo que evidencia un nivel de sofisticación creciente en estas campañas.

GoPix: el sofisticado troyano bancario que se oculta en la memoria

Un informe aún más reciente de Kaspersky advierte sobre GoPix, otro sofisticado troyano bancario que apunta a Brasil, que ha logrado mantenerse activo durante años sin ser detectado con facilidad. Según los investigadores, esta amenaza se caracteriza por operar principalmente desde la memoria del sistema, lo que reduce los rastros en el dispositivo y complica su detección con herramientas de seguridad tradicionales.

Se distribuye a través de campañas de publicidad maliciosa, por ejemplo anuncios en Google, que prometen descargas de programas populares como WhatsApp, Google Chrome o servicios conocidos en Brasil. Una vez descargado el supuesto instalador, GoPix se infiltra en el sistema y comienza a vigilar operaciones financieras, incluyendo transacciones realizadas con Pix, pagos mediante boletos bancarios y movimientos con criptomonedas.

Según Kaspersky, GoPix incluso puede interceptar y manipular el tráfico entre el usuario y el sitio legítimo del banco, permitiendo a los atacantes observar o modificar transacciones sin que la víctima lo note. Además, el malware monitorea el portapapeles del sistema y sustituye direcciones de billeteras de criptomonedas por otras controladas por los delincuentes, desviando fondos de forma silenciosa. Para los analistas, esta combinación de evasión avanzada, ataques en tiempo real y control del tráfico bancario convierte a GoPix en uno de los troyanos financieros más sofisticados surgidos en Brasil en los últimos años.