Investigadores de cibersegurança identificaram uma vaga de ataques que explora a área de transferência de smartphones e computadores para desviar chaves PIX, endereços de criptomoedas e dados bancários. A técnica, conhecida por clipboard hijacking, actua de forma silenciosa e afecta utilizadores de Android, iOS, macOS e Windows.
Como funciona o sequestro da área de transferência
O malware permanece inactivo até detectar que o utilizador copiou informação potencialmente valiosa, como IBAN, chaves PIX ou sequências alfanuméricas longas usadas em carteiras de cripto-activos. No momento em que a vítima selecciona “colar”, o código malicioso substitui discretamente o conteúdo legítimo por um endereço controlado pelos atacantes.
Para evitar suspeitas, o programa gera automaticamente um valor compatível com o formato original — por exemplo, substitui um endereço de criptomoeda por outro com o mesmo número de caracteres ou troca uma chave PIX por uma que mantém o prefixo correcto. Desta forma, a alteração passa despercebida e a transferência é concluída para a conta dos cibercriminosos.
Canais de infecção mais comuns
Os atacantes distribuem o malware sobretudo através de:
- Aplicações pirateadas instaladas fora das lojas oficiais de Android e iOS;
- Anexos de correio electrónico ou ficheiros executáveis manipulados;
- Sites falsos com desafios CAPTCHA ou janelas pop-up que injectam código malicioso.
Em todos os casos, o software é concebido para não apresentar alertas visíveis, reduzindo as hipóteses de ser detetado por antivírus tradicionais.
Impacto nos sistemas Apple
Em dispositivos Apple, a versão 14 do iOS expunha todo o conteúdo copiado a qualquer aplicação instalada. A falha era agravada pelo recurso de partilha universal da área de transferência entre iPhone, iPad e Mac, ampliando o vector de ataque. Após denúncias de investigadores em 2020, a Apple introduziu actualizações que exigem autorização explícita para colar conteúdos entre apps e passaram a exibir notificações sempre que um programa tenta aceder ao clipboard.
Situação no Android
Até 2019, todas as aplicações em Android podiam ler a área de transferência, mesmo quando operavam em segundo plano. Versões posteriores limitaram o acesso a teclados de sistema e a apps em uso activo. O Android 13 acrescentou a expiração automática do clipboard e alertas quando um software lê dados copiados. Apesar disso, especialistas consideram o ecossistema mais vulnerável, porque aplicações maliciosas conseguem ocasionalmente contornar os mecanismos de segurança da Play Store.
Porquê o golpe é difícil de detectar
Além de actuar em segundo plano, o clipboard hijacking beneficia da irreversibilidade de muitas transacções. Pagamentos em criptomoedas são, por definição, definitivos; já as transferências PIX só recentemente passaram a contar com procedimentos de devolução, ainda pouco utilizados. Essa combinação torna a recuperação dos valores roubados complexa e, em muitos casos, impossível.
Boas práticas de prevenção
Especialistas recomendam adoptar os seguintes cuidados:
- Conferir sempre os primeiros e os últimos caracteres do endereço colado antes de confirmar qualquer transação;
- Preferir códigos QR em vez de copiar e colar chaves PIX ou endereços de cripto-activos;
- Verificar informações sensíveis por mais de um canal de comunicação;
- Instalar aplicações exclusivamente a partir das lojas oficiais e evitar versões pirateadas;
- Manter o sistema operativo e as definições de segurança actualizados;
- Utilizar soluções antivírus ou antimalware reconhecidas e com bases de dados recentes.
Ponto de situação
Embora fabricantes e fornecedores de sistemas operativos tenham reforçado restrições ao acesso da área de transferência, os criminosos continuam a explorar utilizadores que não actualizam dispositivos ou instalam aplicações de origem duvidosa. A natureza invisível do ataque reforça a necessidade de vigilância por parte dos utilizadores e de práticas de segurança digital actualizadas.
