Para conseguir invadir o celular, os golpistas fazem uso de engenharia social: se passam por central telefônica bancária e informam ao correntista sobre um suposto problema com o aplicativo bancário ou conta. Depois, pedem a instalação de um programa legítimo de acesso remoto e orientam a vítima a logar no app do banco a fim de que a correção seja realizada. Uma vez logado, o criminoso rapidamente faz uma transferência Pix de um valor alto para outra conta, sem que o usuário perceba.
“O golpe é encerrado quando a falsa central solicita a inserção da senha para concluir a correção ou atualização da conta. Logicamente, quando a vítima perceber que acabou de realizar um Pix com um alto valor, o dinheiro já estará na conta do criminoso“, diz a Kaspersky.
Esse golpe já está na “segunda versão”. Antes, um vírus infectava os aparelhos e permitia acesso remoto dos criminosos ao celular, por meio de uma tecnologia chamada “ATS” (sigla em inglês para “Sistema de Transferência Automático”). Contudo, desde a prisão do grupo responsável por esse tipo ataque, houve queda nas ocorrências que envolvem o software. Em 2023, a Kaspersky bloqueou 2,8 mil tentativas de invasão de aparelhos com ATS. O número caiu para 1,4 mil em 2024 e 40 entre janeiro e abril de 2025.
Agora, no lugar do ATS, os criminosos passaram a usar aplicativos oficiais para acesso remoto – mas precisam que a própria vítima os instale no celular, por isso a engenharia social da falsa central telefônica. “Fraudadores aprendem e adaptam seus métodos rapidamente e é importante que as pessoas e as instituições bancárias fiquem atentas às novas artimanhas para saber se proteger”, afirma Fabio Assolini, diretor da equipe global de pesquisa e análise da Kaspersky para Américas.
Como se proteger?
A Kaspersky recomenda que os usuários tomem precauções para evitar cair nesse golpe, como:
- Sempre desconfiar de ligações de bancos, principalmente se o atendente pede a instalação de aplicativos
- Verificar a legitimidade das solicitações. Ou seja, nunca execute nada imediatamente – desligue a ligação com alguma desculpa e entre em contato com o banco pelos canais oficiais
- Use senhas fortes e únicas para acessar serviços digitais críticos. Dessa forma, se uma senha for vazada, outros acessos não correm risco
- Habilite a autenticação de dois fatores, para ter uma dupla segurança nos seus acessos
