GoPix: trojan bancário brasileiro avança e se torna uma das maiores ameaças financeiras do país
O GoPix, malware bancário criado no Brasil, passou por uma nova onda de evolução e hoje é considerado uma das ciberameaças financeiras mais sofisticadas em atuação no país. Focado em roubar dinheiro de empresas e usuários comuns, ele explora anúncios maliciosos, técnicas inéditas de redirecionamento de transações Pix, boletos e criptomoedas, e ainda se mantém praticamente invisível para muitos sistemas de segurança.
Diferente de outras pragas que dependem de e-mails de phishing ou arquivos anexos, o GoPix aposta em uma estratégia mais sutil e convincente: anúncios pagos em mecanismos de busca, camuflados como se fossem serviços conhecidos e confiáveis, como WhatsApp, Google Chrome ou sites de entrega de encomendas. Quem pesquisa por esses serviços e clica em um desses anúncios maliciosos é direcionado a páginas criadas pelos criminosos, cuidadosamente preparadas para enganar.
Esses sites fraudulentos não oferecem o malware de forma indiscriminada. Antes, fazem uma espécie de “triagem” da vítima. O objetivo é identificar se o visitante tem potencial para gerar ganhos financeiros relevantes: se é cliente de instituições bancárias brasileiras, se utiliza criptomoedas, ou se faz parte de órgãos financeiros de governos estaduais e grandes empresas. Somente quando o perfil é considerado interessante, o site disponibiliza o download do GoPix, disfarçado como instalador legítimo do serviço que o usuário estava procurando – por exemplo, um suposto “WhatsApp Web” para desktop.
Se o visitante não se encaixar no perfil desejado, o próprio sistema oculta o link de download do malware. Essa seleção de alvos reduz o “ruído” das campanhas e torna a operação criminosa mais eficiente, ao mesmo tempo em que dificulta a detecção em larga escala por soluções de segurança.
Ao ser instalado em computadores ou notebooks com Windows, o GoPix passa a atuar de forma furtiva, utilizando técnicas pouco comuns em outros trojans bancários nacionais. Ele roda basicamente na memória do sistema, o que significa que deixa pouquíssimos arquivos permanentes no disco. Esse comportamento complica bastante a vida de antivírus tradicionais, que muitas vezes se baseiam justamente na análise de arquivos e assinaturas conhecidas para detectar ameaças.
Uma das armas mais perigosas do GoPix é o monitoramento contínuo da área de transferência do sistema – ou seja, tudo o que o usuário copia e cola. Quando identifica que uma chave Pix, um código de boleto bancário ou um endereço de carteira de criptomoedas foi copiado, o malware entra em ação. No momento em que a vítima cola esses dados para finalizar um pagamento ou transferência, o trojan substitui silenciosamente as informações originais por dados controlados pelos criminosos. Assim, o dinheiro é redirecionado para contas dos fraudadores, enquanto o usuário acredita estar pagando a pessoa ou empresa correta.
Além de manipular o copiar e colar, o GoPix também mexe diretamente no tráfego de rede. Ele faz uso de arquivos de configuração de proxy (PAC files), que apontam o navegador para um servidor local controlado pelo próprio malware. Dessa forma, o GoPix se coloca entre o usuário e a internet, conseguindo interceptar, inspecionar e alterar comunicações feitas com sites bancários legítimos. Essa capacidade permite fraudar transações em tempo real, inclusive em ambientes que, à primeira vista, parecem completamente seguros.
Outro ponto alarmante é a forma como o GoPix lida com conexões HTTPS – o protocolo que deveria garantir comunicação criptografada e protegida entre o navegador e o site acessado. Normalmente, certificados digitais válidos impedem que terceiros se posicionem no meio da conexão sem serem detectados. O trojan, no entanto, injeta na memória do navegador um certificado digital falso, que é aceito como se fosse legítimo. É como se o navegador passasse a confiar em uma identidade digital forjada, permitindo que o malware atue como intermediário invisível.
Com esse truque, o GoPix consegue capturar credenciais, alterar valores de transações e até modificar dados exibidos ao usuário, tudo isso antes que as informações cheguem efetivamente ao banco. Como o certificado falso existe apenas na memória e não é instalado de forma tradicional no sistema, torna-se extremamente difícil identificá-lo em verificações de rotina. Para o usuário, tudo parece normal: o cadeado de conexão segura aparece, o endereço do banco está correto, e nenhuma mensagem de alerta é exibida.
Segundo especialistas que analisaram o trojan, o GoPix representa um marco na evolução dos malwares bancários brasileiros. Ele combina múltiplas camadas de evasão: opera principalmente em memória, usa infraestrutura de comando e controle (C2) com vida útil curta – servidores são trocados com frequência para evitar rastreamento -, explora ferramentas legítimas de redirecionamento e até se apoia em serviços antifraude reais para analisar o perfil da vítima e decidir se vale a pena atacá-la. Campanhas que utilizam o GoPix estão ativas desde, pelo menos, dezembro de 2022, mostrando um nível de persistência e refinamento que exige atenção redobrada.
Por que o GoPix é tão perigoso para empresas e usuários?
O grande diferencial do GoPix é a combinação de três fatores: foco em Pix, boletos e criptomoedas; técnicas avançadas de invisibilidade; e seleção criteriosa das vítimas. Para empresas, o risco é particularmente alto porque valores transacionados via Pix corporativo e boletos de alto montante podem ser desviados em segundos, sem que ninguém perceba de imediato. Em ambiente corporativo, o trojan pode afetar equipes de financeiro, tesouraria, compras e cobrança, comprometendo o fluxo de caixa e gerando prejuízos significativos.
No caso de usuários comuns, o apelo é a praticidade do Pix e das carteiras digitais. Como o hábito de copiar e colar chaves e endereços é massivo, a janela de oportunidade para o GoPix agir é enorme. Em transações com criptomoedas, o problema é ainda mais crítico: uma vez enviada a quantia para um endereço fraudulento, não há mecanismo de estorno simples, o que torna praticamente impossível recuperar os ativos.
Como reconhecer cenários de risco na prática
Embora o GoPix seja discreto, existem contextos de maior risco que podem servir de alerta:
– Pesquisa por softwares populares (WhatsApp, navegadores, ferramentas de produtividade) seguida de clique em anúncio patrocinado em vez do resultado oficial.
– Sites que oferecem instaladores “facilitados”, versões “otimizadas” ou “não oficiais” de programas conhecidos.
– Páginas que pedem para desativar temporariamente o antivírus ou ajustar configurações de segurança do navegador para concluir o download.
– Comportamento estranho em transações financeiras: destinatário alterado, divergência entre nome exibido e chave Pix, boletos com dados de beneficiário suspeitos.
Perceber esses sinais precocemente pode evitar a infecção ou, ao menos, reduzir o impacto de uma eventual fraude.
Boas práticas para reduzir o risco de infecção
Algumas medidas simples ajudam a mitigar a ameaça do GoPix e de outros trojans bancários:
1. Evitar instalar programas a partir de anúncios
Priorize sempre os resultados orgânicos e, de preferência, digite diretamente o endereço oficial do serviço no navegador. Desconfie de instaladores “milagrosos” ou muito simplificados.
2. Manter sistema operacional e navegador sempre atualizados
Atualizações corrigem falhas de segurança que podem ser exploradas por malwares. Ative o update automático sempre que possível.
3. Usar soluções de segurança confiáveis e manter a proteção ativa
Softwares de segurança com capacidades avançadas de detecção comportamental têm mais chances de identificar malwares que atuam em memória.
4. Restrição de privilégios em computadores corporativos
Em empresas, usuários comuns não devem ter privilégios de administrador. Isso dificulta a instalação silenciosa de trojans e reduz o impacto de infecções.
5. Revisão cuidadosa antes de confirmar transações
Antes de concluir um Pix, verifique se o nome do destinatário é exatamente o esperado. Em boletos, confira CNPJ, razão social e banco emissor. Em criptomoedas, compare os primeiros e últimos caracteres do endereço da carteira com o que foi realmente colado.
Medidas específicas para empresas
Organizações de qualquer porte precisam encarar o GoPix como uma ameaça estratégica à integridade financeira. Algumas ações práticas incluem:
– Treinamento recorrente para equipes de finanças, compras e cobrança, focado em segurança de pagamentos digitais.
– Política clara de instalação de software, restringindo o download de programas apenas a canais oficiais validados pela área de TI.
– Monitoramento de transações com regras de alerta para movimentações atípicas, como Pix de alto valor fora do horário comercial ou para destinatários não habituais.
– Segmentação de rede para que uma infecção em uma máquina não comprometa todo o ambiente.
– Uso de autenticação forte em portais bancários corporativos, com múltiplos fatores de verificação e, quando possível, dispositivos físicos de assinatura de transações.
O papel da educação digital na defesa contra o GoPix
Por mais avançada que seja a tecnologia de segurança, o comportamento do usuário ainda é um dos fatores decisivos para o sucesso ou o fracasso de campanhas maliciosas. No caso do GoPix, o vetor inicial mais comum é o clique em anúncios aparentemente inofensivos. Por isso, é fundamental que as pessoas entendam:
– que nem todo anúncio pago é sinônimo de legitimidade;
– que softwares populares costumam ter páginas oficiais facilmente identificáveis;
– que a pressa em instalar algo “rápido” ou “gratuito” pode sair muito caro.
Iniciativas de conscientização que expliquem, em linguagem simples, como funcionam golpes envolvendo Pix, boletos e criptomoedas ajudam a criar uma cultura de desconfiança saudável, que dificulta a vida dos criminosos.
O futuro dos trojans bancários no Brasil
A evolução do GoPix é um indicativo claro de para onde caminham as ameaças financeiras no país: malwares mais silenciosos, com foco em métodos de pagamento instantâneos e digitais, uso criativo de ferramentas legítimas e ataques cada vez mais personalizados. A tendência é que novas variantes surjam com recursos adicionais, como maior compatibilidade com diferentes navegadores, exploração de outras formas de autenticação e integração com técnicas avançadas de engenharia social.
Diante desse cenário, usuários e instituições financeiras precisam abandonar a ideia de que apenas “golpes óbvios” representam perigo. Trojans como o GoPix mostram que, hoje, os criminosos são capazes de orquestrar ataques altamente técnicos, muitas vezes indistinguíveis, para o usuário comum, de uma navegação cotidiana.
Conclusão
O GoPix consolidou-se como um dos trojans bancários brasileiros mais sofisticados já observados, unindo engenharia técnica avançada, foco em Pix, boletos e criptomoedas, e uma estratégia de disseminação baseada em anúncios maliciosos cuidadosamente direcionados. A proteção contra essa ameaça passa pela combinação de tecnologia adequada, boas práticas de uso, políticas de segurança bem definidas em empresas e, sobretudo, informação. Quanto mais se compreende como o golpe funciona, menores são as chances de se tornar a próxima vítima.