Em muitos países, a primavera é a época tradicional para a apresentação de declarações de imposto de renda. Esses documentos são uma mina de ouro para as pessoas mal-intencionadas porque contêm uma grande quantidade de dados pessoais, como histórico profissional, renda, ativos, detalhes da conta bancária e por aí vai. Não é surpresa que os golpistas aumentem seus esforços nessa época; a internet está cheia de sites falsos projetados para parecerem exatamente recursos governamentais e autoridades fiscais.

Com a proximidade de prazos e números a serem analisados, a pressa de terminar tudo a tempo pode fazer com que as pessoas baixem a guarda. Na confusão, é fácil não perceber os sinais de que o site onde você está detalhando suas finanças não tem nenhuma conexão com o fisco, ou que o arquivo que acabou de ser baixado, supostamente de um fiscal, na verdade é malware.

Nesta postagem, detalharemos como esses sites fraudulentos de agências fiscais operam em diferentes países e o que é preciso evitar fazer para manter seu dinheiro e suas informações confidenciais seguros.

Brasileiros na mira

A temporada de declaração do Imposto de Renda no Brasil trouxe um aumento notável na atividade de cibercriminosos. Apenas em março, a Kaspersky identificou ao menos 61 domínios maliciosos registrados no país, todos utilizando o Leão como isca para enganar contribuintes e roubar informações sensíveis ou pagamentos indevidos.

Os ataques vão desde páginas falsas que simulam serviços oficiais até campanhas de phishing que se passam por comunicações legítimas de órgãos governamentais. O principal objetivo é induzir as vítimas a fornecer suas credenciais do Gov.br, plataforma oficial de serviços públicos digitais do Governo Federal, ou a realizar transferências financeiras sob pressão.

A principal estratégia da campanha é a abordagem clássica de criar sites fraudulentos que imitam páginas oficiais, utilizando termos como “IRPF”, “regularização”, “declaração” e até referências diretas à Receita Federal, como logotipos, para parecerem legítimos. Essas páginas são projetadas para confundir os usuários e aumentar as chances de acesso não autorizado a dados pessoais.

A campanha também incluiu o envio de e-mails falsos a contribuintes, informando sobre supostos problemas em suas declarações. Nessas mensagens, as vítimas são alertadas sobre irregularidades no CPF e incentivadas a resolver a situação com urgência, muitas vezes com promessas de benefícios, como descontos em multas.

Ao seguir as instruções, as vítimas são direcionadas a realizar pagamentos via PIX ou boleto, sistema de cobrança brasileiro com código de barras. Os prazos são sempre curtos, aumentando a pressão e reduzindo o tempo disponível para verificação. Os valores são enviados para contas de terceiros, o que dificulta a recuperação do dinheiro.

Além de sites de phishing que imitam recursos legítimos, nossos especialistas descobriram sites fraudulentos que prometem serviços pagos para preencher e auditar documentos fiscais, mas que, na prática, roubam dados de alto valor, como números do CPF.

Phishing contra contribuintes

Além do Brasil, os invasores estão falsificando sites de autoridades fiscais em vários outros países, inclusive os portais oficiais dos governos da Alemanha, França, Áustria, Suíça, Chile e Colômbia. O modus operandi é similar: nos sites fraudulentos, os golpistas coletam credenciais de serviços legítimos e roubam dados pessoais antes de se oferecerem para processar uma dedução fiscal, desde que a vítima forneça os dados do cartão de crédito. Em alguns casos, eles até cobram uma taxa por esse serviço fraudulento.

Às vezes, a tática envolve acusações feitas em nome de órgãos governamentais. Na imagem abaixo, por exemplo, um suposto chefe de auditoria fiscal, em Paris, informa à vítima que ela forneceu informações de renda incompletas. Então, para evitar penalidades, a pessoa é instruída a baixar um documento e fazer as correções imediatamente. No entanto, o arquivo PDF esconde algo muito pior: malware.

Na Colômbia, um site falso da direção nacional de impostos e alfândegas também solicita que as pessoas baixem documentos que devem ser “desbloqueados com uma chave de segurança”. Na realidade, trata-se simplesmente de um arquivo comprimido ZIP malicioso e protegido por senha.

Lucros de criptomoedas isentos de impostos

Os detentores de criptomoedas passaram a representar um alvo específico para os invasores. As autoridades fiscais alemãs falsas estão exigindo que os proprietários de carteiras “verifiquem seus ativos digitais” e citam os regulamentos da UE tendo como objetivo o cálculo de impostos. E, claro, há um “lado positivo”: obviamente, os ganhos com criptomoedas estão supostamente isentos de impostos! No entanto, para solicitar um benefício tão generoso, os usuários devem passar por um procedimento de “verificação”. O site ainda promete fazer a criptografia de dados usando um “protocolo SSL de 2048 bits”.

Para concluir o processo de “verificação”, os usuários são forçados a inserir a frase-semente, ou seja, a sequência exclusiva de palavras vinculadas a uma carteira de criptomoedas que concede acesso de recuperação total. Essa solicitação está associada a uma ameaça: a recusa em fornecer os dados levará a graves consequências legais, como multas de até um milhão de euros ou processo criminal.

Os invasores também aplicaram um golpe semelhante em usuários franceses. Eles criaram um “portal de conformidade tributária de criptomoedas” inexistente, que imita o design do site do ministério da economia e finanças da França. O site de phishing exige, agressivamente, que os residentes franceses enviem uma “declaração de ativos digitais”.

Depois que o usuário insere as informações pessoais, os golpistas solicitam que eles insiram manualmente a frase-semente ou “vinculem” a carteira de criptomoedas ao portal. Se a vítima seguir em frente, as carteiras MetaMask, Binance, Coinbase, Trust Wallet ou WalletConnect serão drenadas.

A IA pode ajudar com as declarações de impostos?

Quando você tem IA à disposição, capaz de gerar texto instantaneamente e preencher planilhas, há uma forte tentação de delegar tudo a ela. Infelizmente, isso pode gerar sérias consequências. Em primeiro lugar, todos os chatbots populares processam os dados em seus respectivos servidores, o que coloca suas informações confidenciais em risco de vazamento. Em segundo lugar, é comum que eles cometam erros incrivelmente tolos, e isso pode resultar em problemas reais com o fisco.

Antes de informar a um chatbot ou agente de IA quanto você ganhou no ano passado, juntamente com dados pessoais e bancários detalhados, lembre-se da frequência com que ocorrem vazamentos em serviços de IA e considere os riscos. Não informe sua renda para a IA, não forneça detalhes pessoais, como nome ou endereço, e, sob hipótese alguma, não carregue fotos ou números de documentos vitais, como passaportes, informações de seguro ou números de previdência social. Os arquivos que contêm informações confidenciais devem ser mantidos em contêineres criptografados, como o [placeholder KPM].

Se, mesmo assim, você ainda quiser usar ferramentas de IA, é recomendável executá-las localmente. Isso pode ser feito gratuitamente até mesmo em um laptop padrão, e já mostramos como configurar modelos de linguagem locais usando o DeepSeek como um exemplo. No entanto, a qualidade da saída desses modelos é geralmente inferior. É bem possível que a verificação dupla de cada dígito em uma resposta gerada por IA leve mais tempo do que apenas preencher a papelada manualmente. Não se esqueça, você é o único responsável perante a administração fiscal por quaisquer erros, e não a IA.

Por fim, fique atento aos modelos de phishing por IA que oferecem “assistência” com a declaração de impostos. Os especialistas da Kaspersky descobriram sites que pedem aos usuários o envio de notas fiscais, supostamente para a geração automatizada de declarações e solicitações de dedução. Porém, o que acontecia, de fato, era que os invasores coletavam os dados pessoais para revender na dark web ou para usar em futuros ataques de phishing, chantagem e esquemas de extorsão.

Lembre-se de que serviços legítimos de IA alertam para não compartilhar dados confidenciais, e documentos fiscais se enquadram nessa categoria. Quaisquer ferramentas de IA que prometem oferecer ajuda para lidar com a papelada fiscal são simplesmente uma farsa.

Como proteger a si mesmo e às suas informações

• Faça você mesmo a sua declaração. O risco de encontrar golpistas é extremamente alto. Mesmo que uma empresa de consultoria seja legítima, a empresa receberá um dossiê completo seu: detalhes do passaporte, informações de emprego e renda, endereço e muito mais. Não se esqueça de que mesmo os serviços mais honestos não estão imunes a ataques e violações de dados.
• Cuidado com sites falsos. Use uma solução de segurança confiável que impede a visita a sites de phishing e bloqueia downloads de arquivos maliciosos.
• Mantenha todos os documentos importantes criptografados. Armazenar fotos, notas ou arquivos na área de trabalho ou manter mensagens com estrela em um aplicativo de mensagens não é uma forma segura de lidar com dados confidenciais. Um cofre seguro como o Kaspersky Password Manager pode armazenar mais do que apenas senhas e informações de cartão de crédito: ele também pode proteger documentos e até fotos.
• Não confie na IA. Mesmo os chatbots mais avançados são propensos a erros e alucinações e, em princípio, os desenvolvedores podem ler qualquer conversa que você tenha com a IA. Se você absolutamente precisar usar a IA, instale e execute uma versão local em seu próprio computador.
• Siga apenas os canais oficiais. O “inspetor fiscal chefe” do seu país ou cidade definitivamente não enviará uma mensagem para você, pois funcionários de alto escalão têm coisas mais importantes a fazer. Contate as autoridades fiscais apenas por canais oficiais e verifique o remetente de todos os e-mails recebidos. Na maioria das vezes, mesmo uma pequena diferença no nome ou no endereço é um sinal que revela uma campanha de phishing.

Leitura adicional sobre phishing e segurança de dados:

• Phishing e spam: as campanhas mais ousadas de 2025
• Como phishers e golpistas usam IA
• O que acontece com os dados roubados em ataques de phishing?
• Como desaparecer da Internet
• Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso

O DarkSword e o Coruna são novas ferramentas utilizadas em ataques invisíveis a dispositivos iOS. Esses ataques não exigem interação do usuário e já estão sendo usados em larga escala por agentes mal-intencionados. Antes do surgimento dessas ameaças, a maioria dos usuários do iPhone não precisava se preocupar com a segurança de dados. Poucos grupos realmente se preocupavam com isso, como políticos, ativistas, diplomatas, executivos de negócios de alto nível e pessoas que lidam com dados extremamente confidenciais, já que eles poderiam vir a ser alvos de agências de inteligência estrangeiras. Já discutimos spywares avançados usados contra esses grupos anteriormente, e observamos como era raro encontrá-los.

No entanto, o DarkSword e o Coruna, descobertos por pesquisadores no início deste ano, são revolucionários. Esses malwares estão sendo usados em infecções em massa de usuários comuns. Nesta postagem, explicamos por que essa mudança ocorreu, os riscos dessas ferramentas e como se proteger.

O que sabemos sobre o DarkSword e como ele pode infectar o seu iPhone

Em meados de março de 2026, três equipes de pesquisa diferentes coordenaram a divulgação das suas descobertas sobre um novo spyware chamado de DarkSword. Essa ferramenta é capaz de invadir silenciosamente dispositivos com o iOS 18, sem que o usuário perceba que algo está errado.

Primeiro, devemos esclarecer uma coisa: o iOS 18 não é tão antigo quanto parece. Embora a versão mais recente seja o iOS 26, a Apple revisou recentemente o sistema de versões, surpreendendo a todos. A empresa decidiu avançar oito versões (da 18 diretamente para a 26) para que o número do sistema operacional correspondesse ao ano atual. Apesar disso, a Apple estima que cerca de um quarto de todos os dispositivos ativos ainda executam o iOS 18 ou uma versão anterior.

Agora que isso já foi esclarecido, vamos voltar a falar sobre o DarkSword. A pesquisa mostra que esse malware infecta as vítimas quando elas visitam sites perfeitamente legítimos que contêm códigos maliciosos. O spyware se instala sem qualquer interação do usuário: basta acessar uma página comprometida. Isso é conhecido como técnica de infecção zero clique. Os pesquisadores relatam que milhares de dispositivos já foram infectados desta forma.

Para comprometer um dispositivo, o DarkSword usa uma cadeia de exploits com seis vulnerabilidades para evitar o sandbox, aumentar privilégios e executar código. Assim que o dispositivo é infectado, o malware consegue coletar dados, incluindo:

• Senhas
• Fotos
• Conversas e dados do iMessage, WhatsApp e Telegram
• Histórico do navegador
• Informações dos aplicativos Calendário, Notas e Saúde da Apple

Além disso, o DarkSword coleta dados de carteiras de criptomoedas, atuando como malware de dupla finalidade para espionagem e roubo de criptoativos.

A única boa notícia é que o spyware não sobrevive a uma reinicialização. O DarkSword é um malware sem arquivo, o que significa que ele vive na RAM do dispositivo e nunca se incorpora ao sistema de arquivos.

Coruna: direcionado às versões mais antigas do iOS

Apenas duas semanas antes da descoberta do DarkSword se tornar pública, os pesquisadores revelaram outra ameaça que tinha o iOS como alvo, chamada de Coruna. Esse malware consegue comprometer dispositivos que executam softwares mais antigos, especificamente as versões 13 a 17.2.1 do iOS. O método utilizado pelo Coruna é exatamente igual ao do DarkSword: as vítimas visitam um site legítimo injetado com código malicioso que, em seguida, infecta o dispositivo delas com o malware. Todo o processo é completamente invisível e não requer interação do usuário.

Uma análise detalhada do código do Coruna revelou que ele explora 23 vulnerabilidades distintas do iOS, várias delas localizadas no WebKit da Apple. Vale lembrar que, de um modo geral (fora da UE), todos os navegadores iOS precisam usar o mecanismo WebKit. Isso significa que essas vulnerabilidades não afetam apenas os usuários do Safari, mas também qualquer pessoa que use outros navegadores no iPhone.

A versão mais recente do Coruna, assim como o DarkSword, inclui modificações projetadas para drenar carteiras de criptomoedas. Ele também coleta fotos e, em alguns casos, informações de e-mails. Ao que tudo indica, roubar criptomoedas parece ser o principal motivo da implementação generalizada do Coruna.

Quem criou o Coruna e o DarkSword, e como eles foram disseminados?

A análise do código de ambas as ferramentas sugere que o Coruna e o DarkSword provavelmente foram desenvolvidos por grupos diferentes. No entanto, ambos são softwares criados por empresas patrocinadas pelo governo, possivelmente dos EUA. Isso se reflete na alta qualidade do código: não são kits montados com partes aleatórias, mas exploits projetados de forma uniforme. Em algum momento, essas ferramentas vazaram e foram parar nas mãos de gangues de cibercriminosos.

Os especialistas da GReAT, da Kaspersky, analisaram todos os componentes do Coruna e confirmaram que o kit de exploração é uma versão atualizada da estrutura usada na Operação Triangulação. Esse ataque anterior tinha como alvo os funcionários da Kaspersky, uma história que abordamos em detalhes neste blog.

Uma teoria sugere que um funcionário da empresa que desenvolveu o Coruna vendeu o malware para hackers. Desde então, ele tem sido usado para drenar carteiras de criptomoedas de usuários na China. Alguns especialistas estimam que pelo menos 42 mil dispositivos foram infectados somente neste país.

Quanto ao DarkSword, os cibercriminosos já o usaram para infectar dispositivos de usuários na Arábia Saudita, Turquia e Malásia. O problema se agrava pelo fato de que os invasores que implementaram o DarkSword deixaram o código-fonte completo nos sites infectados, facilitando a detecção dele por outros grupos criminosos.

O código também inclui comentários detalhados explicado exatamente o que faz cada componente, reforçando a hipótese de que ele surgiu no Ocidente. Essas instruções detalhadas tornam mais fácil para outros hackers adaptarem a ferramenta para interesses próprios.

Como se proteger do Coruna e do DarkSword

Dois malwares poderosos que permitem a infecção em massa de iPhones sem exigir qualquer interação do usuário caíram nas mãos de um grupo essencialmente ilimitado de cibercriminosos. Para ser infectado pelo Coruna ou pelo DarkSword, basta que você visite o site errado na hora errada. Portanto, este é um daqueles casos em que todos os usuários precisam levar a sério a segurança do iOS, não apenas aqueles que pertencem a grupos de alto risco.

A melhor coisa a fazer para se proteger do Coruna e do DarkSword é atualizar assim que possível os dispositivos para a versão mais recente do iOS ou do iPadOS 26. Se isso não for possível (por exemplo, se o dispositivo for mais antigo e não compatível com o iOS 26), ainda assim é recomendado baixar a versão mais recente disponível. Especificamente, procure as versões 15.8.7, 16.7.15 ou 18.7.7. A Apple aplicou correções em vários sistemas operacionais mais antigos, o que é raro.

Para proteger os dispositivos Apple contra malwares semelhantes que provavelmente aparecerão no futuro, recomendamos fazer o seguinte:

• Instale as atualizações em todos os dispositivos da Apple o quanto antes. A empresa lança regularmente versões do SO que corrigem vulnerabilidades conhecidas. Não as ignore.
• Ative a opção Otimização de segurança em segundo plano. Esse recurso permite que o dispositivo receba correções de segurança críticas além das atualizações completas do iOS, reduzindo o risco de exploração de vulnerabilidades pelos hackers. Para ativá-lo, vá para Configurações → Privacidade e segurança → Otimização de segurança em segundo plano e ative a opção Instalar automaticamente.
• Considere usar o Modo de bloqueio. Essa é uma configuração de segurança reforçada que, apesar de limitar alguns recursos do dispositivo, bloqueia ou restringe ataques de forma significativa. Para ativá-lo, vá para Configurações → Privacidade e segurança → Modo de bloqueio → Ativar o Modo de bloqueio.
• Reinicie o dispositivo uma vez por dia (ou mais). Isso interrompe a atuação de malwares sem arquivo, pois essas ameaças não são incorporadas ao sistema e desaparecem após a reinicialização.
• Use o armazenamento criptografado para dados confidenciais. Mantenha chaves de carteiras de criptomoedas, fotos de documentos e dados confidenciais em um local seguro. Kaspersky Password Manager é uma ótima opção para isso, pois gerencia suas senhas, tokens de autenticação de dois fatores e chaves de acesso em todos os dispositivos, mantendo notas, fotos e documentos sincronizados e criptografados.

A ideia de que os dispositivos da Apple são à prova de balas é um mito. Eles são vulneráveis a ataques de zero clique, cavalos de Troia e técnicas de infecção ClickFix. Além disso, aplicativos maliciosos já foram encontrados na App Store mais de uma vez. Leia mais aqui:

• Predador vs. iPhone: a arte da vigilância invisível
• AirBorne: Ataques a dispositivos da Apple através de vulnerabilidades no AirPlay
• Os seus fones de ouvido Bluetooth estão espionando você?
• O trojan para roubo de dados SparkCat penetra na App Store e no Google Play para roubar dados de fotos
• Banshee: um malware de roubo de dados que persegue usuários do macOS

Para conseguir concretizar seus planos ardilosos, os desenvolvedores de malware para Android precisam enfrentar vários desafios sucessivos: enganar os usuários para invadir o smartphone, burlar os softwares de segurança, convencer as vítimas a conceder várias permissões do sistema, manter a distância de otimizadores de bateria integrados que consomem muitos recursos e, depois de tudo isso, ter a certeza de que o malware realmente gera lucro. Os criadores do BeatBanker, uma campanha de malware baseado em‑Android descoberta recentemente por nossos especialistas, desenvolveram algo novo para cada uma dessas etapas. O ataque é voltado, por enquanto, para usuários brasileiros, mas as ambições dos desenvolvedores quase certamente motivará uma expansão internacional, então, vale a pena permanecer em alerta e estudar os truques do agente da ameaça. É possível encontrar uma análise técnica completa do malware na Securelist.

Como o BeatBanker se infiltra em um smartphone

O malware é distribuído por páginas de phishing especialmente criadas que imitam a Google Play Store. Uma página facilmente confundida com o Marketplace oficial convida os usuários a baixar um aplicativo aparentemente útil. Em uma campanha, o trojan se disfarçou como o aplicativo de serviços do governo brasileiro, o INSS Reembolso. Em outra, ele se apresentava como um aplicativo da Starlink.

A instalação ocorre em várias etapas para evitar a solicitação de muitas permissões ao mesmo tempo e para acalmar ainda mais a vítima. Depois que o primeiro aplicativo é baixado e iniciado, ele exibe uma interface que também se assemelha ao Google Play e simula uma atualização para o aplicativo falso, ao solicitar a permissão do usuário para instalar aplicativos, algo que não parece fora do comum no contexto. Se essa permissão for concedida, o malware baixará módulos maliciosos adicionais no smartphone.

Todos os componentes do trojan são criptografados. Antes de descriptografar e prosseguir para os próximos estágios da infecção, ele verifica se o smartphone é real e se ele está no país de destino. O BeatBanker encerra imediatamente o próprio processo se encontrar discrepâncias ou detectar que está sendo executado em ambientes emulados ou de análise. Isso complica a análise dinâmica do malware. Aliás, o falso downloader de atualizações injeta módulos diretamente na RAM para evitar a criação de arquivos no smartphone que seriam visíveis ao software de segurança.

Todos esses truques não são novidade e são frequentemente usados em malwares complexos para computadores desktop. No entanto, para smartphones, essa sofisticação ainda é uma raridade, e nem todas as ferramentas de segurança conseguirão detectar isso. Usuários de produtos da Kaspersky estão protegidos contra essa ameaça.

Reprodução de áudio como um escudo

Uma vez estabelecido no smartphone, o BeatBanker baixa um módulo para minerar a criptomoeda Monero. Os autores estavam muito preocupados com a possibilidade dos sistemas agressivos de otimização de bateria do smartphone desligarem o minerador, então eles criaram um truque: tocar um som quase inaudível o tempo todo. Os sistemas de controle de consumo de energia normalmente poupam os aplicativos que estão reproduzindo áudio ou vídeo para evitar cortar a música de fundo ou os players de podcast. Dessa forma, o malware pode ser executado continuamente. Além disso, ele exibe uma notificação persistente na barra de status para solicitar ao usuário que mantenha o telefone ligado para uma atualização do sistema.

Controle via Google

Para gerenciar o trojan, os autores utilizam o Firebase Cloud Messaging (FCM) legítimo do Google, um sistema para receber notificações e enviar dados de um smartphone. Esse recurso está disponível para todos os aplicativos e é o método mais popular para enviar e receber dados. Graças ao FCM, os invasores podem monitorar o status do dispositivo e alterar as configurações de acordo com suas necessidades.

Não acontecerá nada durante um tempo, depois que o malware for instalado, os invasores esperam pacientemente. Então, eles acionam o minerador, mas com o cuidado de reduzir a intensidade, se o telefone superaquecer, a bateria começar a descarregar ou o proprietário estiver usando o dispositivo. Tudo isso é feito via FCM.

Roubo e espionagem

Além do minerador de criptomoedas, o BeatBanker instala módulos extras para espionar o usuário e realizar o roubo no momento certo. O módulo de spyware solicita a permissão dos Serviços de Acessibilidade, e se ela for concedida, o monitoramento de tudo o que estiver acontecendo no smartphone começa.

Se o proprietário abrir o aplicativo Binance ou Trust Wallet para enviar USDT, o malware sobrepõe uma tela falsa na parte superior da interface da carteira ao trocar efetivamente o endereço do destinatário pelo seu próprio endereço. Todas as transferências vão para os golpistas.

O trojan possui um sistema de controle remoto avançado e é capaz de executar muitos outros comandos:

• Interceptação de códigos únicos do Google Autenticador
• Gravação de áudio do microfone
• Streaming da tela em tempo real
• Monitoramento da área de transferência e interceptação de pressionamentos de tecla
• Envio de mensagens SMS
• Simulação de toques em áreas específicas da tela e entrada de texto de acordo com um script enviado pelo invasor e muito mais

Tudo isso torna possível roubar a vítima quando ela usa qualquer outro serviço bancário ou de pagamento, não apenas os pagamentos de criptomoedas.

Às vezes, as vítimas são infectadas com um módulo diferente para espionagem e controle remoto por smartphone, o trojan de acesso remoto BTMOB. Seus recursos maliciosos são ainda mais amplos, incluindo:

• Aquisição automática de determinadas permissões no Android 13 a 15
• Rastreamento contínuo de geolocalização
• Acesso às câmeras frontal e traseira
• Obtenção de códigos PIN e senhas para desbloqueio da tela
• Captura da digitação do teclado

Como se proteger contra o BeatBanker

Os criminosos virtuais estão constantemente refinando seus ataques e criando novas soluções como formas de lucrar com as vítimas. Apesar disso, é possível se proteger seguindo algumas precauções simples:

• Baixe aplicativos somente de fontes oficiais, como o Google Play ou a loja de aplicativos pré-instalada pelo fornecedor. Se encontrar um aplicativo ao pesquisar na Internet, não o abra por meio de um link do navegador, em vez disso, acesse o aplicativo Google Play ou outra loja consolidada em seu smartphone e procure por ele lá. Enquanto estiver fazendo isso, verifique o número de downloads, o histórico do aplicativo, as classificações e os comentários. Evite aplicativos novos, aplicativos com classificações baixas e aqueles com um pequeno número de downloads.
• Verifique todas as permissões concedidas. Não conceda permissões sem a certeza do que elas fazem ou por que esse aplicativo específico as requer. Tenha muito cuidado com permissões como Instalar aplicativos desconhecidos, Acessibilidade, Superusuário e Exibir sobre outros aplicativos. Escrevemos sobre isso em detalhes em um artigo separado.
• Equipe seu dispositivo com uma solução antimalware abrangente. Naturalmente, recomendamos o Kaspersky for Android. Os usuários dos produtos Kaspersky estão protegidos contra o BeatBanker, detectado com os veredictos HEUR:Trojan-Dropper.AndroidOS.BeatBanker e HEUR:Trojan-Dropper.AndroidOS.Banker.*.
• Atualize regularmente o sistema operacional e o software de segurança. Para o Kaspersky for Android, atualmente indisponível no Google Play, consulte nossas instruções detalhadas sobre como instalar e atualizar o aplicativo.

Ameaças aos usuários do Android estão aumentando bastante ultimamente. Confira nossas outras postagens sobre os ataques Android mais relevantes e difundidos, além das dicas para manter você e seus entes queridos seguros:

• A tempestade perfeita de ameaças no Android
• Esgotamento cerebral: vulnerabilidades em aplicativos de saúde mental
• Vulnerabilidade Pixnapping: capturas de tela sem restrição no seu telefone Android
• Ataques de retransmissão por NFC
• Uma nova camada de segurança antiphishing no Kaspersky for Android

Infostealers, malwares que roubam senhas, cookies, documentos e/ou outros dados valiosos de computadores, tornaram-se a ameaça cibernética de crescimento mais rápido em 2025. Trata-se de um problema grave para todos os sistemas operacionais e todas as regiões. Para espalhar a infecção, os criminosos usam todo tipo de artifício como isca. Como era de se esperar, as ferramentas de IA se tornaram um dos mecanismos de atração favoritos deles neste ano. Em uma nova campanha descoberta por especialistas da Kaspersky, os invasores direcionam suas vítimas a um site que supostamente contém guias do usuário para a instalação do novo navegador Atlas da OpenAI para macOS. O que torna o ataque tão convincente é que o link da isca leva ao site oficial do ChatGPT! Mas como?

O link da isca nos resultados da pesquisa

Para atrair vítimas, os agentes maliciosos colocam anúncios de pesquisa pagos no Google. Se você tentar pesquisar “atlas chatgpt”, o primeiro link patrocinado pode ser um site cujo endereço completo não é visível no anúncio, mas está claramente localizado no domínio chatgpt.com.

O título da página na lista de anúncios também é o que você esperaria: “ChatGPT™ Atlas para macOS – Baixar ChatGPT Atlas para Mac”. E um usuário que deseja baixar o novo navegador pode muito bem clicar nesse link.

A armadilha

Clicar no anúncio realmente abre o chatgpt.com, e a vítima vê um breve guia de instalação do “navegador Atlas”. O usuário cuidadoso perceberá na hora que se trata apenas de uma conversa de um visitante anônimo com o ChatGPT, que o autor tornou pública usando o recurso Compartilhar. Os links para chats compartilhados começam com chatgpt.com/share/. Na verdade, está claramente indicado logo acima do chat: “Esta é uma cópia de uma conversa entre o ChatGPT e um anônimo”.

No entanto, um visitante menos cuidadoso ou apenas menos experiente em IA pode negligenciar esses detalhes do guia, especialmente porque ele está bem formatado e publicado em um site de aparência confiável.

Variantes dessa técnica já foram vistas antes. Os invasores abusaram de outros serviços que permitem o compartilhamento de conteúdo em seus próprios domínios: documentos maliciosos no Dropbox, phishing no Google Docs, malware em comentários não publicados no GitHub e no GitLab, armadilhas de criptografia no Google Forms e muito mais. E agora você também pode compartilhar um bate-papo com um assistente de IA, e o link para ele levará ao site oficial do chatbot.

Notavelmente, os agentes maliciosos usaram a engenharia de prompt para fazer com que o ChatGPT produzisse o guia exato de que precisavam e, depois, foram capazes de limpar a caixa de diálogo anterior para evitar levantar suspeitas.

A infecção

Para instalar o “navegador Atlas”, os usuários são instruídos a copiar uma única linha de código do bate-papo, abrir o Terminal em seus Macs, colar, executar o comando e conceder todas as permissões necessárias.

O comando especificado basicamente baixa um script malicioso de um servidor suspeito, atlas-extension{.}com, e o executa imediatamente no computador. Estamos diante de uma variação do ataque ClickFix. Normalmente, os golpistas sugerem “receitas” como essas para validar o CAPTCHA, mas aqui temos as etapas para instalar um navegador. O truque principal, no entanto, é o mesmo: o usuário é solicitado a executar manualmente um comando shell que baixa e executa o código de uma fonte externa. Muitos já sabem que não devem executar arquivos baixados de fontes duvidosas, mas a forma como esse golpe se desenrola nada se parece com a execução de um arquivo.

Quando executado, o script solicita ao usuário a senha do sistema e verifica se a combinação de “nome de usuário atual + senha” é válida para executar comandos do sistema. Se os dados inseridos estiverem incorretos, a solicitação será repetida indefinidamente. Se o usuário inserir a senha correta, o script baixará o malware e usará as credenciais fornecidas para instalá-lo e iniciá-lo.

O infostealer e o backdoor

Se o usuário cair no estratagema, um infostealer comum conhecido como AMOS (Atomic macOS Stealer) será iniciado no computador. O AMOS é capaz de coletar uma ampla variedade de dados potencialmente valiosos: senhas, cookies e outras informações do Chrome, do Firefox e de outros perfis de navegador; dados de carteiras de criptomoedas como Electrum, Coinomi e Exodus; e informações de aplicativos como o Telegram Desktop e o OpenVPN Connect. Além disso, o AMOS rouba arquivos com extensões TXT, PDF e DOCX das pastas Área de Trabalho, Documentos e Downloads, bem como arquivos da pasta de armazenamento de mídia do aplicativo Notes. O infostealer empacota todos esses dados e os envia ao servidor dos invasores.

A cereja no bolo é que o ladrão instala um backdoor e o configura para ser iniciado automaticamente após a reinicialização do sistema. O backdoor essencialmente replica a funcionalidade do AMOS, ao mesmo tempo em que fornece aos invasores a capacidade de controlar remotamente o computador da vítima.

Como se proteger do AMOS e de outros malwares em bate-papos de IA

Essa onda de novas ferramentas de IA permite que os invasores reciclem truques antigos e tenham como alvo usuários curiosos sobre a nova tecnologia, mas que ainda não têm uma vasta experiência na interação com grandes modelos de linguagem.

Já escrevemos sobre uma barra lateral de chatbot falsa para navegadores e clientes DeepSeek e Grok falsos. Agora, o foco mudou para explorar o interesse no OpenAI Atlas, e esse certamente não será o último ataque desse tipo.

O que você deve fazer para proteger seus dados, seu computador e seu dinheiro?

• Usar proteção antimalware confiável em todos os seus smartphones, tablets e computadores, incluindo aqueles que executam macOS.
• Se algum site, mensagem instantânea, documento ou bate-papo solicitar que você execute algum comando, como pressionar Win+R ou Command+Space e, em seguida, iniciar o PowerShell ou o Terminal, não execute. É muito provável que você esteja enfrentando um ataque ClickFix. Os invasores normalmente tentam atrair usuários pedindo a eles que corrijam um “problema” em seu computador, neutralizem um “vírus”, “provem que não são um robô” ou “atualizem seu navegador ou sistema operacional agora”. No entanto, uma opção mais neutra como “instalar esta nova ferramenta de tendências” também é possível.

• Nunca siga guias que você não pediu e não entende completamente.

• O mais fácil é fechar imediatamente o site ou excluir a mensagem com estas instruções. Mas se a tarefa parecer importante e você não conseguir entender as instruções que acabou de receber, consulte alguém experiente. Uma segunda opção é simplesmente colar os comandos sugeridos em um bate-papo com um bot de IA e pedir que ele explique o que o código faz e se é perigoso. O ChatGPT normalmente lida com essa tarefa muito bem.

De que outra forma os agentes maliciosos usam a IA para enganar?

• Falsificação da barra lateral de IA: um novo ataque a navegadores com IA
• Ataques usando o Syncro e sites gerados por IA
• Como phishers e golpistas usam IA
• Trojans disfarçados de clientes DeepSeek e Grok
• Como fraudadores burlam a verificação de identidade com deepfakes