Um novo golpe direcionado a beneficiários do Fundo Garantidor de Créditos (FGC) está utilizando um aplicativo Android fraudulento para distribuir o trojan bancário BeatBanker. A campanha, identificada pela Kaspersky, representa a primeira onda de fraudes digitais explorando especificamente o tema do ressarcimento do FGC.
O FGC é um fundo que protege investidores quando instituições financeiras sofrem liquidação, garantindo a devolução de valores até R$ 250 mil por CPF e por instituição.
Como funciona o golpe
A equipe de pesquisa da Kaspersky detectou a campanha ao monitorar distribuição de trojans bancários móveis desenvolvidos por criminosos brasileiros. Os pesquisadores identificaram que fraudadores estavam aproveitando a repercussão do ressarcimento do FGC para atrair vítimas, usando como isca a promessa de um acompanhamento simplificado do processo de devolução de valores.
O FGC é um fundo que protege investidores quando instituições financeiras sofrem liquidação, garantindo a devolução de valores até R$ 250 mil por CPF e por instituição. Com milhares de brasileiros aguardando ressarcimentos após casos recentes de falência bancária, os criminosos viram uma oportunidade lucrativa para explorar a ansiedade e expectativa dessas pessoas.
O golpe funciona através de sites fraudulentos que simulam portais oficiais do FGC. Ao acessar o site falso, o usuário é induzido a baixar um aplicativo que se passa por legítimo e supostamente disponível na Google Play Store. Os criminosos simulam interfaces confiáveis da loja oficial do Google para ganhar credibilidade e reduzir a desconfiança da vítima.
No entanto, o aplicativo não está realmente na Play Store – é distribuído através de instalação manual (APK), que requer que o usuário habilite a opção “instalar de fontes desconhecidas” nas configurações de segurança do Android. Este é o primeiro sinal de alerta que muitos usuários ignoram.
Ao instalar o aplicativo fraudulento, a vítima infecta o próprio dispositivo com o BeatBanker, uma família de trojan bancário móvel desenvolvida por cibercriminosos brasileiros.
O malware foi identificado pela primeira vez em meados de 2024 e já havia sido usado em campanhas anteriores que distribuíam aplicativos falsos do INSS, explorando o caso dos valores desviados nas aposentadorias.
BeatBanker possui capacidades avançadas
O trojan é considerado uma ameaça altamente sofisticada devido às suas múltiplas funcionalidades maliciosas. A primeira e mais direta é o roubo de credenciais – o BeatBanker intercepta e furta informações de login, senhas e dados financeiros de aplicativos bancários instalados no smartphone, além de outras informações sensíveis armazenadas no dispositivo.
Mas o malware vai além do roubo tradicional de dados. Ele realiza mineração clandestina da criptomoeda Monero, utilizando o poder de processamento do smartphone da vítima sem consentimento. Esta atividade drena rapidamente a bateria do dispositivo e degrada severamente seu desempenho, tornando o celular mais lento e esquentando excessivamente.
O BeatBanker também oferece capacidades avançadas de RAT (Remote Access Trojan ou trojan de acesso remoto).
Isso concede aos cibercriminosos controle total sobre o dispositivo infectado, permitindo que realizem diversas ações remotamente – desde acessar dados pessoais e fazer transações bancárias até instalar outros códigos maliciosos sem o conhecimento da vítima.
Técnicas de evasão demonstram sofisticação
O trojan emprega mecanismos avançados para evitar detecção e manter persistência no dispositivo infectado. Primeiro, ele se disfarça como aplicativo legítimo, usando ícones e interfaces que imitam apps conhecidos para não levantar suspeitas quando o usuário verifica os aplicativos instalados.
O malware também monitora constantemente a temperatura do dispositivo e a porcentagem da bateria. Quando detecta que o celular está esquentando demais ou a bateria está muito baixa, ele reduz temporariamente suas atividades de mineração de criptomoedas para evitar que o usuário perceba algo errado.
Além disso, verifica se o usuário está ativamente utilizando o dispositivo para otimizar suas operações maliciosas nos momentos de menor atenção.
Para garantir que continue rodando mesmo após reinicializações ou tentativas de encerrar processos, o BeatBanker usa um mecanismo inovador: reproduz continuamente um arquivo de áudio quase inaudível em loop. Este truque mantém o processo ativo na memória do sistema Android, dificultando sua remoção completa.
Especialistas alertam para possível onda de golpes
Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, alerta que esta campanha pode representar apenas o início de uma série de ataques explorando o tema do FGC.
“A rapidez com que os cibercriminosos exploram temas em evidência no noticiário para criar esquemas fraudulentos que se aproveitam da expectativa e da ansiedade de grandes grupos de pessoas é uma tática recorrente. Este caso representa apenas o início de uma possível onda de golpes”, afirma Assolini.
Segundo o especialista, a análise da Kaspersky indica tendência de surgimento de novos vetores de ataque relacionados ao FGC, dada a alta atratividade do tema e o grande número de potenciais vítimas – milhares de brasileiros aguardam ressarcimentos e estão naturalmente ansiosos por informações sobre seus processos.
Como se proteger do golpe
Diante da gravidade e da iminência de mais golpes explorando esta temática, especialistas recomendam algumas medidas de proteção.
- Desconfie de ofertas fáceis demais: qualquer serviço que prometa agilizar ou simplificar processos burocráticos de forma extraordinariamente fácil deve ser encarado com extrema cautela. Golpes frequentemente usam promessas tentadoras para induzir a vítima ao erro;
- Verifique sempre nos canais oficiais: antes de clicar em qualquer link ou baixar aplicativos relacionados ao FGC, acesse o site oficial do fundo (fgc.org.br) diretamente digitando o endereço no navegador. Nunca clique em links recebidos por WhatsApp, SMS ou email;
- Nunca instale aplicativos de fontes desconhecidas: baixe aplicativos apenas de lojas oficiais como Google Play Store ou Apple App Store. Mantenha desativada a opção “instalar de fontes desconhecidas” nas configurações de segurança do seu Android. Se um site pedir para você ativar essa opção, é golpe na certa;
- Use solução de segurança confiável: mantenha um antivírus de confiança instalado e atualizado em seu smartphone;
- Fique atento a sinais de infecção: se seu celular começar a esquentar excessivamente, a bateria drenar muito rápido ou o desempenho cair drasticamente sem motivo aparente, pode ser sinal de que há malware rodando. Procure ajuda técnica especializada imediatamente.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.