PixRevolution: el troyano que secuestra transferencias Pix en tiempo real sin que la víctima lo note
12 de Marzo, 2026 - Brasil
Un nuevo malware para Android opera con un operador humano en tiempo real: intercepta la clave Pix del destinatario en el momento exacto del pago y la reemplaza por la de los criminales, mientras el usuario ve una pantalla de carga falsa.
Un programa malicioso de nueva generación está robando dinero a usuarios brasileños durante transferencias a través del sistema de pagos instantáneos Pix, sin que las víctimas perciban ninguna anomalía en el proceso. El troyano, denominado PixRevolution, fue identificado por investigadores de la firma de seguridad móvil Zimperium, y su método de operación se distingue de manera significativa del que utilizan los malware bancarios convencionales.
A diferencia de los troyanos automatizados que capturan credenciales mediante superposición de pantallas falsas, PixRevolution requiere la intervención activa de un operador humano —o eventualmente de un agente de inteligencia artificial— que observa la pantalla de la víctima en tiempo real y decide el momento exacto para ejecutar la sustitución de la clave Pix.
+3B
Transacciones Pix por mes en Brasil
14
Variantes de apps falsas identificadas
80+
Frases en portugués monitoreadas por el malware
La mayoría de los troyanos bancarios opera de forma automatizada: detecta cuándo la víctima abre la aplicación de su banco, despliega pantallas falsas para capturar contraseñas y ejecuta operaciones de forma mecánica. Esta automatización tiene, sin embargo, un punto débil conocido: cuando una entidad financiera actualiza la interfaz de su aplicación, el malware queda obsoleto.
PixRevolution resuelve este problema estructural al depender de la lectura visual de un operador, quien puede actuar independientemente del banco utilizado y de cómo esté organizada su aplicación. Esta flexibilidad lo convierte en una herramienta especialmente difícil de neutralizar mediante actualizaciones de las plataformas bancarias.
La campaña de distribución se inicia con páginas que imitan la apariencia de la Google Play Store, alojadas en servidores controlados por los atacantes. Estas páginas replican las listadas reales de aplicaciones conocidas, incluyendo descripciones, valoraciones de usuarios y botones de descarga.
Al hacer clic para instalar, el dispositivo descarga directamente un archivo APK —formato de instalación de apps Android— desde un servidor malicioso, sin pasar por la tienda oficial de Google. El análisis de 14 muestras confirmó la existencia de versiones falsas de aplicaciones ampliamente utilizadas en Brasil: Correios, Expedia, AVG Antivirus, XP Investimentos, Sicredi, el Superior Tribunal de Justicia e incluso servicios locales de colecta de residuos y aplicaciones de pilates.
Con los permisos concedidos, el malware establece conexión con un servidor de comando y control (C2) y activa la captura de pantalla en tiempo real mediante la API MediaProjection de Android —herramienta legítima que permite transmitir el contenido del dispositivo—, lo que le permite al operador observar todo lo que ocurre en el teléfono de la víctima.
El troyano también monitorea los textos visualizados en pantalla y los compara con una lista de más de 80 frases en portugués relacionadas con transacciones financieras: "pix enviado", "transferência concluída", "saldo disponível", entre otras. Estas expresiones están codificadas en base64 dentro del código del malware para dificultar su detección por parte de soluciones de seguridad.
Cuando la víctima inicia una transferencia Pix, el operador sigue el proceso en directo. En el instante en que la clave del destinatario legítimo ha sido ingresada, envía al malware la clave de destino controlada por los criminales. El troyano despliega entonces una pantalla de sobreposición con el mensaje "Aguarde…", borra la clave original del campo de texto, inserta la clave fraudulenta y simula el toque sobre el botón de confirmación. Cuando desaparece la pantalla de espera, el usuario ve el mensaje legítimo de "transferência concluída". El pago fue realizado —pero a la cuenta equivocada.
noticias reLACIONADAS
Pix ocupa el segundo lugar de preferencia como medio de pago para los brasileños
8 de Julio, 2021 - Brasil
Reino Unido: vulnerabilidad en las tarjetas VISA contactless
1 de Agosto, 2019 - UK
Reconocimiento facial en el punto de venta: así funciona el nuevo modelo de pago instantáneo que prescinde de las tarjetas
.jpg)
