A Kaspersky divulgou esta semana um alerta aos usuários do Pix relacionado a uma nova modalidade do golpe conhecido como “mão fantasma”, caracterizado pelo controle remoto da chave Pix das vítimas pelos golpistas.

De acordo com a empresa de segurança, a nova abordagem é mais sofisticada e usa programas legítimos de acesso remoto em chamadas falsas de suporte bancário, enquanto a versão anterior do golpe envolvia infecção direta do dispositivo.

Desde 2024, a nova modalidade já foi registrada mais de 10 mil vezes no Brasil, sendo 6.667 em 2024 e 3.495 nos primeiros meses de 2025, relatou a Kaspersky.

O golpe começa quando o criminoso, se passando por atendente de uma central bancária, alerta a vítima sobre supostos problemas com o aplicativo ou conta bancária. Nesse caso, o objetivo é induzir medo ou urgência, levando a pessoa a seguir orientações sem questionar.

A primeira solicitação é que a vítima instale uma ferramenta de acesso remoto — um programa legítimo, disponível nas lojas oficiais de aplicativos. Como o software não é malicioso por si só, essa etapa costuma passar despercebida.

Em seguida, a vítima é orientada a abrir o aplicativo bancário. Neste momento, o criminoso, já com controle remoto do celular, realiza uma transferência via Pix com valor elevado. De acordo com a empresa, a vítima, ao observar o próprio celular, percebe há uma “mão invisível” agindo, daí o nome da técnica.

O golpe se encerra quando a falsa central solicita a senha para supostamente concluir a atualização ou correção da conta. Quando a vítima percebe que caiu em um golpe, o dinheiro já foi transferido.

Dicas para se proteger

A Kaspersky elencou as seguintes recomendações para os usuários do Pix não caírem no golpe:

  1. Desconfie de ligações de bancos: instituições financeiras não entram em contato solicitando instalação de apps ou dados pessoais;

  2. Verifique as solicitações: se tiver dúvidas, desligue a ligação e procure a instituição pelos canais oficiais;

  3. Use senhas fortes e exclusivas: com senhas únicas, um possível vazamento não compromete outros serviços;

  4. Ative a autenticação de dois fatores: principalmente em apps bancários, e-mails e mensageiros como WhatsApp e Telegram;

  5. Tenha uma solução de segurança confiável: ferramentas completas, como o Kaspersky Premium, ajudam a detectar comportamentos suspeitos e bloqueiam acessos indevidos.

Queda do golpe

A empresa de segurança acrescentou que a mudança atual nas táticas da mão fantasma está diretamente relacionada à prisão do desenvolvedor do malware usado no antigo golpe do redirecionamento Pix. Esse ataque, que automatizava roubos usando a tecnologia ATS (Automated Transfer System), teve um grande impacto em 2023.

Para o diretor da Equipe Global de Pesquisa e Análise da Kaspersky para Américas, Fabio Assolini, “a prisão do grupo relacionado ao golpe por ATS teve um impacto direto na diminuição dos ataques utilizando essa tecnologia. No entanto, o uso indevido de ferramentas RMM tornou-se uma alternativa atraente para fraudadores e os criminosos latinos não perderam tempo em adotar a nova tática.”

Fraudadores aprendem e adaptam seus métodos rapidamente e é importante que as pessoas e as instituições bancárias fiquem atentas às novas artimanhas para saber se proteger, alertou.

Assolini acrescentou que, em 2023, a empresa bloqueou 2.892 tentativas de ataque com o ATS. Já em 2024, o número caiu para 1.146 e, em 2025, foram apenas 40 registros até abril.

O avanço da mão fantasma acontece na esteira da expansão da plataforma de transações instantâneas do Banco Central (BC), que implantou este mês o Pix automático. Já a Binance anunciou em maio a integração do Binance Pay ao Pix para pagamentos instantâneos com mais de 100 criptomoedas em todo o país, conforme noticiou o Cointelegraph Brasil.