Golpe do INSS: Trojan BeatBanker usa app falso para controlar seu Android, roubar dados e minerar criptomoedas no Brasil
Malware BeatBanker e BTMOB RAT utilizam app ‘INSS Reembolso’ para atacar usuários, com técnicas avançadas para evitar detecção e garantir o controle total do aparelho.
Um novo e perigoso malware, batizado de BeatBanker, está mirando usuários brasileiros de Android com um golpe sofisticado que imita o aplicativo do INSS. A ameaça não apenas rouba dados bancários e pessoais, mas também transforma o celular da vítima em um centro de mineração de criptomoedas, operando de forma discreta para evitar detecção. A descoberta, detalhada pela Kaspersky em 13 de março de 2026, alerta para a gravidade da campanha.
Como o BeatBanker Engana Suas Vítimas
Os criminosos virtuais por trás do BeatBanker distribuem o malware através de um aplicativo falso chamado ‘INSS Reembolso’, disponível em diversas versões. Para enganar os usuários, eles criam uma página web que simula a Google Play Store, com um endereço fraudulento como ‘cupomgratisfood.shop’. Ao baixar o aplicativo de uma dessas fontes não oficiais, o usuário instala inadvertidamente um trojan com vasta capacidade de extração de dados e de instalação de malwares adicionais.
As Táticas Invisíveis do Malware
O BeatBanker emprega estratégias avançadas para escapar da detecção por softwares de segurança. Uma de suas táticas é a execução direta na memória do celular, sem deixar rastros no armazenamento, o que dificulta que antivírus baseados em arquivos o encontrem. Além disso, o malware é programado para identificar ambientes simulados, como máquinas virtuais usadas por pesquisadores, e encerra suas atividades imediatamente caso se sinta analisado. Para garantir sua persistência, o trojan reproduz um áudio de baixíssimo volume em loop, fazendo com que o sistema operacional o mantenha ativo, e fixa uma notificação falsa de atualização do sistema, que serve como porta de entrada para outras etapas da invasão.
Do Roubo de Dados à Mineração Secreta
Ao clicar na notificação falsa, a vítima aciona o download de um minerador de criptomoedas. Este módulo é projetado para operar sem superaquecer o aparelho ou esgotar a bateria rapidamente, tornando sua presença ainda mais difícil de ser notada. A comunicação do malware com os servidores dos criminosos é habilmente disfarçada entre as comunicações legítimas do Firebase Cloud Messaging, da Google. Além disso, o BeatBanker instala um módulo bancário que solicita permissões de acessibilidade, concedendo aos golpistas controle total sobre as funções do celular, incluindo a manipulação de aplicativos e transações.
Ameaça Adicional: O BTMOB RAT
Em algumas versões do ataque, o BeatBanker entrega o BTMOB RAT (Remote Access Trojan), um tipo de trojan de acesso remoto que é oferecido como serviço (MaaS – Malware-as-a-Service). Isso significa que o acesso ao celular da vítima pode ser vendido para outros cibercriminosos. Com o BTMOB RAT, os invasores ganham a capacidade de gravar a tela, registrar o teclado (keylogging), ativar as câmeras e rastrear a localização da vítima, transformando o smartphone em uma ferramenta completa de espionagem.
Fonte: canaltech.com.br