Vírus GoPix se torna ameaça financeira mais avançada do Brasil com novas funcionalidades
O temido vírus de computador GoPix, conhecido por fraudar compras online ao alterar o destino de transferências, ganhou capacidades alarmantes. Segundo um relatório divulgado pela empresa de antivírus Kaspersky nesta segunda-feira (16), o malware agora desvia não apenas pagamentos via Pix, mas também operações com boletos bancários e criptomoedas, consolidando-se como a ciberameaça financeira mais sofisticada do país.
Mecanismo de ataque sofisticado e difícil de detectar
O GoPix explora uma ferramenta legítima do navegador para redirecionar sites, com o objetivo de modificar o destinatário da transferência. O vírus realiza mudanças sutis na chave Pix, no código do boleto ou na senha criptográfica da criptomoeda, sem deixar rastros no computador da vítima, o que dificulta enormemente sua detecção. "Esse trojan bancário brasileiro se consolida como a ciberameaça financeira mais avançada do país", afirma o relatório da Kaspersky, que ainda não consegue rastrear o tamanho total do prejuízo causado pela quadrilha.
Em circulação desde 2023, o GoPix se propaga principalmente por meio de campanhas de anúncios fraudulentos no Google Ads. "Os sites falsos usados na fraude ficam poucas horas no ar e têm um público bem definido", explica Fabio Assolini, diretor da equipe de pesquisa da Kaspersky para América Latina. O Google, por sua vez, declara manter monitoramento ativo de campanhas criminosas, tendo removido 415 milhões de anúncios ligados a fraudes financeiras apenas em 2024.
Seletividade e alvos preferenciais da quadrilha
O vírus opera com notável seletividade, visando desviar grandes valores e minimizar alertas para o sistema bancário. Antes de executar o golpe, o GoPix solicita um "score de rede", similar à avaliação do Serasa, para testar se o computador pertence a uma pessoa física ou a uma empresa. O alvo preferencial são as companhias, que costumam movimentar valores mais elevados em transações únicas.
Se o usuário passar nessa triagem, o site oferece o download do GoPix, que se disfarça como o aplicativo legítimo do serviço procurado, como um falso instalador do "WhatsApp Web". Caso contrário, a opção de baixar o programa malicioso simplesmente não aparece, demonstrando a sofisticação da operação criminosa.
Funcionamento do vírus e interceptação de dados
Uma vez instalado no sistema Windows, o vírus monitora tudo o que é copiado e colado pelo usuário. Se uma chave Pix, um código de boleto bancário ou um endereço de carteira de criptomoedas for copiado, o GoPix pode alterar esses dados no momento da colagem, redirecionando o dinheiro para os criminosos sem que a vítima perceba.
A alteração é realizada por meio de uma ferramenta chamada Proxy, que redireciona o usuário para um servidor local contendo os comandos para executar o golpe. Dessa forma, os criminosos interceptam e modificam as informações enquanto a vítima navega em sites bancários legítimos, chegando a fraudar até o certificado de conexão segura HTTPS usando um certificado digital falso.
Expansão para criptomoedas e desafios na detecção
A recente atualização do GoPix ampliou o escopo da quadrilha para incluir pessoas físicas que movimentam altas quantias, especialmente em transações com criptomoedas. As stablecoins, lastreadas no dólar, têm popularidade crescente em operações de câmbio e compras de importados online. Em 2025, mais de 90% das transações com criptoativos no Brasil utilizaram a stablecoin USDT, da empresa Tether.
Segundo Assolini, ainda há menos pistas sobre como os criminosos operam para desviar boletos, uma forma de pagamento vinculada a CNPJ ou CPF e que passa por mais etapas de processamento. Até o momento, a Kaspersky identificou um gatilho que aciona o vírus quando o usuário realiza esse tipo de operação.
Medidas essenciais de proteção contra o GoPix
Para se proteger contra essa ameaça avançada, especialistas recomendam:
- Atenção redobrada ao conteúdo de anúncios patrocinados no Google, especialmente para baixar aplicativos
- Baixar programas apenas nos sites oficiais dos desenvolvedores
- Manter o antivírus sempre atualizado
- Atualizar regularmente o Windows e o navegador de internet
- Antes de confirmar qualquer transferência, verificar cuidadosamente se a chave Pix, o código do boleto ou o endereço da carteira não foram alterados
- No caso de transações via Pix, é possível contestá-las diretamente no aplicativo do banco
Além disso, a Febraban alerta sobre golpes do falso gerente, lembrando que bancos nunca solicitam dados pessoais, senhas, atualizações de sistemas, chaves de segurança, pagamentos ou estornos de transações por telefone.
