Pesquisadores da Kaspersky identificaram uma nova tendência no cenário de fraudes bancárias na América Latina, com destaque para o Brasil. A queda do golpe que redirecionava transferências via PIX deu espaço a uma variação mais sofisticada da chamada “Mão Fantasma”, agora utilizando programas legítimos de acesso remoto para controlar dispositivos móveis durante supostas ligações de suporte bancário.
Segundo a empresa de cibersegurança, desde 2024 foram detectadas 10.162 tentativas desse novo golpe no país — sendo 6.667 somente no ano passado e outras 3.495 nos primeiros meses de 2025. A fraude começa com uma ligação telefônica em que o golpista se apresenta como atendente da central de atendimento de um banco. Ele informa ao correntista sobre um suposto problema no aplicativo bancário ou em sua conta, e sugere “ajuda técnica” imediata.
Para isso, a vítima é orientada a instalar um programa legítimo de acesso remoto, baixado por meio da loja oficial do sistema operacional do celular. Essa ação passa despercebida por não se tratar de um aplicativo malicioso, mas sim de uma ferramenta amplamente usada por empresas de suporte.
Com o software instalado e o acesso concedido, o criminoso passa a controlar o dispositivo remotamente. A vítima é induzida a abrir o aplicativo bancário para que o problema seja “corrigido”. Assim que o usuário está logado, o fraudador realiza uma transferência via PIX de alto valor, enquanto a pessoa acredita estar apenas seguindo orientações técnicas. Em muitos casos, o golpista ainda solicita a digitação da senha, supostamente para concluir uma atualização ou correção de segurança — o que, na verdade, autoriza o envio do dinheiro.
A Kaspersky explica que essa nova versão do golpe preserva o conceito de “mão fantasma”, em que o celular parece estar sendo operado por uma força invisível. A diferença é que agora a fraude ocorre com o uso de programas legítimos e por meio de interação direta com a vítima, sem a necessidade de infecção prévia por malware.
O surgimento dessa nova estratégia coincide com a forte queda nas detecções do golpe via redirecionamento de PIX, que vinha sendo amplamente utilizado desde 2023 com o auxílio de um malware chamado ATS (Automated Transfer System). Em 2023, a Kaspersky registrou 2.892 bloqueios de tentativas desse tipo de ataque. Já em 2024, os casos caíram para 1.146, e nos primeiros quatro meses de 2025 foram apenas 40. A empresa atribui essa queda à prisão do desenvolvedor do ATS, em março de 2024, o que desarticulou boa parte da operação criminosa.
Apesar da redução nas fraudes automatizadas, os criminosos rapidamente adaptaram suas táticas. “A prisão do grupo relacionado ao golpe por ATS teve um impacto direto na diminuição dos ataques utilizando essa tecnologia. No entanto, o uso indevido de ferramentas RMM tornou-se uma alternativa atraente para fraudadores e os criminosos latinos não perderam tempo em adotar a nova tática”, alerta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para as Américas.
Assolini ressalta que os golpistas demonstram agilidade para se adaptar e que o risco permanece elevado, mesmo com o recuo das ameaças anteriores. Ele reforça a importância de consumidores e instituições bancárias estarem atentos às novas formas de ataque, especialmente aquelas que usam engenharia social e tecnologias legítimas de forma indevida.
A recomendação da Kaspersky é para que os usuários nunca instalem aplicativos de acesso remoto a pedido de terceiros, especialmente durante ligações inesperadas, e que acionem diretamente os canais oficiais de atendimento dos bancos em caso de dúvida.
