Um novo vírus, chamado GoPix, foi identificado pela empresa de segurança digital Kaspersky, representando uma ameaça às compras online realizadas por computador através do sistema de transferências via Pix. O pesquisador Fábio Marenghi descobriu que o ponto de infecção ocorria em um site falso do WhatsApp Web, que era exibido como resultado de pesquisa no Google quando os usuários digitavam “Watsap Web” com erro de grafia. Após a intervenção da Kaspersky, o site fraudulento foi removido do mecanismo de busca. O GoPix também foi encontrado em um instalador que utilizava o site dos Correios como isca.

O vírus, quando presente em um computador infectado, espiona o usuário até identificar o momento de uma compra online feita através do Pix, geralmente por meio da leitura de um QR Code ou da cópia e cola de um código. A Kaspersky alerta que o GoPix só é ativado quando a transferência é realizada através da opção de “copia e cola”.

O GoPix age substituindo o código copiado pelo usuário por outro, redirecionando o pagamento para a conta do criminoso. Para evitar cair nesse golpe, é essencial verificar o destinatário do Pix, pois ele será diferente do legítimo em casos de infecção.

Para se proteger contra a instalação do vírus, é importante adotar medidas comuns, como fazer o download apenas de sites oficiais, verificar erros de ortografia nos endereços da web, verificar se o site possui criptografia (indicada pelo código “https” no início da URL) e manter um antivírus atualizado. A infecção ocorre somente se o usuário abrir o programa baixado ao acessar o site fraudulento.

Os cibercriminosos por trás do GoPix utilizam estratégias para evitar a detecção pelos antivírus. O site falso do WhatsApp, por exemplo, disponibilizava o download do vírus apenas após verificar se o visitante tinha comportamento humano, evitando assim a identificação por bots de monitoramento.

Além disso, o site fraudulento fazia um teste para verificar a presença de antivírus no computador da vítima. Caso fosse detectado, o link de download direcionava para um arquivo compactado no formato “.zip”, contendo um atalho para o programa, dificultando ainda mais a detecção do vírus, que normalmente é um arquivo executável no formato “.exe”.

Embora vírus que monitoram a área de transferência não sejam novidade, essa é a primeira vez que a Kaspersky encontra um programa dedicado a fraudar o Pix.

A empresa de antivírus afirma ter bloqueado o GoPix no Brasil em 10 mil ocasiões até outubro deste ano, sendo a primeira delas em novembro de 2022. No entanto, esse número refere-se apenas aos usuários que possuem o antivírus da Kaspersky instalado.

Foi somente neste mês que o pesquisador Fábio Marenghi conseguiu rastrear a origem desse golpe. Em dispositivos Android, já foram identificados vírus que desviam transações Pix pelo aplicativo bancário ou que acessam remotamente o celular para realizar transações fraudulentas, o que ficou conhecido como o golpe da “mão fantasma”.