Logo TecMundo
Segurança

Golpe de 'Copia e Cola" rouba dados de PIX e criptomoedas

Cibercriminosos exploram vulnerabilidade na área de transferência para fazer transações bancárias indevidas e roubar dados

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule02/09/2025, às 19:45

updateAtualizado em 03/09/2025, às 16:12

Golpistas usam brecha no copia e cola de celulares e computadores para roubar dados. A nova modalidade explorada por cibercriminosos é conhecida como sequestro de área de transferência (do termo em inglês, clipboard hijacking), e afeta usuários de Android e iOS. No Brasil, a técnica tem sido utilizada para roubar dados de PIX, acessar contas de bancos e realizar transferências.

Existem algumas maneiras pelas quais é possível cair nesse tipo de golpe. Entre as mais comuns estão infecção por apps e softwares pirateados, baixados por fora das lojas de aplicativo oficiais do Android e iOS. Os golpistas também miram e-mails com anexos ou arquivos executáveis contaminados, e mais recentemente, foram descobertas campanhas usando sites falsos que usam CAPTCHA, a verificação de humanidade, ou notificações pop-up que injetam código malicioso no dispositivo.

smart_display

Nossos vídeos em destaque

pix-golpe.png

O tipo de malware envolvido nesta modalidade é silencioso, permitindo que o programa não mostre alertas e deixe rastros visíveis. Ele é, basicamente, um espião adormecido: o vírus fica silencioso no dispositivo até que o usuário copie algo que pareça valioso, como endereços de cripto - compostos por longas sequências hexadecimais, chaves PIX e números de contas internacionais. 

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Alguns dos malwares são capazes de distinguir diferentes formatos e, na hora que o usuário cola a informação copiada, ele automaticamente gera um endereço compatível do hacker, para evitar desconfiança do usuário.

Android e iOS são alvos deste ataque

Alguns dos casos registrados em macOS e iOS envolviam uma brecha no sistema operacional iOS na versão 14, lançada em 2020, que permitia que qualquer app instalado no celular lesse, automaticamente, o conteúdo na área de transferência. O usuário não tinha a opção de ativar ou desativar essa permissão nos apps. Por isso, tudo que passava pelo “copia e cola”, era visível para todos os aplicativos. 

O risco era agravado por conta de um recurso útil, mas que explorava ainda mais a vulnerabilidade dos produtos Apple - o compartilhamento universal. Usuários de iPhone, Mac e iPad, podem sincronizar as áreas de transferência de diversos dispositivos, o que amplia o risco, porque compartilha os dados com todos os apps baixados em cada aparelho.

Em 2020, pesquisadores de cibersegurança revelaram que mais de 50 apps populares como TikTok, LinkedIn e Reddit estavam constantemente lendo a área de transferência do iOS, mesmo sem necessidade funcional. Então surgiram aplicativos falsos projetados para explorar essa vulnerabilidade e roubar endereços de criptomoedas e dados bancários. 

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético
malware.png

Depois das investigações, a Apple reforçou a segurança nas atualizações do sistema e passou a disponibilizar notificações pop-up que mostram a origem do conteúdo copiado, exigir permissão explícita para colar conteúdos entre apps e reforçaram proteções de sandbox, recurso que restringe as permissões de aplicativos para ajudar a identificar e entender potenciais ameaças no dispositivo.

Em aparelhos Android, ocorria o mesmo problema registrado no iOS - todos os apps tinham permissão para ler a área de transferência, mesmo em background. A partir de 2019, o sistema operacional restringiu o acesso aos conteúdos copiados em segundo plano, deixando apenas apps de teclado padrão ou em uso ativo com acesso a esse tipo de texto. Em 2022, com o Android 13 introduziu a expiração automática da área de transferência, que apaga os conteúdos copiados após determinado tempo, e notificações que avisam quando um aplicativo lê as informações copiadas.

Os riscos para Android são maiores, apesar das atualizações de defesa, uma vez que apps falsos podem burlar as regras de segurança do Google e aparecer na Play Store normalmente, se disfarçando de aplicativos de limpeza de memória ou até editores de PDF para interceptar dados bancários copiados.

Esta modalidade de golpe é perigosa porque é difícil de ser identificada. Muitas vezes, para o usuário, a troca de informações passa despercebida. Os antivírus têm dificuldade de bloquear este tipo de malware, pois muitos deles são contidos em arquivos leves e ofuscados. Além disso, a maioria das transações feitas em plataformas de criptomoedas são irreversíveis, e as mudanças na política de estorno de PIX são recentes e não tão usadas por muitos usuários.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Como se proteger do golpe do copiar e colar?

Para se proteger é recomendável revisar hábitos inseguros ao navegar apps e copiar e colar conteúdos.

  • Sempre verificar os primeiros e últimos caracteres do endereço antes de confirmar;
  • Usar QR Codes para transferências bancárias;
  • Confirmar endereços por múltiplos canais antes de enviar;
  • Evitar instalar apps e softwares pirateados;
  • Usar antivírus/antimalware atualizados;
  • Manter sistemas operacionais na versão mais recente.

Para ficar por dentro de notícias de cibersegurança e aprender a se proteger de golpes, acompanhe o TecMundo no X, Instagram, Facebook e YouTube, e se inscreva em nossa newsletter.

Perguntas Frequentes

O que é o golpe de "copia e cola" ou clipboard hijacking?
É uma técnica usada por cibercriminosos que explora a área de transferência (clipboard) de celulares e computadores. Quando o usuário copia informações sensíveis, como chaves PIX ou endereços de criptomoedas, o malware substitui esses dados por outros controlados pelos golpistas, redirecionando transferências sem que a vítima perceba.
Como os dispositivos Android e iOS são afetados por esse tipo de golpe?
Ambos os sistemas permitiam que qualquer aplicativo acessasse a área de transferência, mesmo em segundo plano. No iOS, essa vulnerabilidade foi agravada pelo recurso de compartilhamento universal entre dispositivos Apple. Já no Android, apesar de atualizações que restringem esse acesso, apps maliciosos ainda conseguem burlar as regras de segurança.
Quais são as principais formas de infecção por esse tipo de malware?
As infecções ocorrem principalmente por meio de apps e softwares pirateados baixados fora das lojas oficiais, anexos de e-mails contaminados, arquivos executáveis e sites falsos com CAPTCHA ou pop-ups que injetam código malicioso nos dispositivos.
Por que esse golpe é difícil de ser detectado?
O malware age de forma silenciosa, sem alertas visíveis, e só entra em ação quando detecta que o usuário copiou algo valioso. Além disso, ele pode gerar endereços falsos com formatos semelhantes aos originais, dificultando a percepção da fraude. Antivírus também têm dificuldade em detectar esses malwares, pois são leves e ofuscados.
Quais dados são mais visados pelos golpistas nesse tipo de ataque?
Os alvos principais são chaves PIX, endereços de criptomoedas (geralmente longas sequências hexadecimais) e números de contas bancárias internacionais. Esses dados são copiados pelo usuário e substituídos por informações dos criminosos no momento da colagem.
Quais medidas de segurança foram adotadas pela Apple e pelo Google para mitigar esse risco?
A Apple passou a exigir permissões explícitas para colar conteúdos entre apps, introduziu notificações pop-up e reforçou o sandboxing. O Android, desde 2019, restringe o acesso à área de transferência em segundo plano e, a partir do Android 13, implementou a expiração automática do conteúdo copiado e alertas de leitura da área de transferência.
Como posso me proteger do golpe do copiar e colar?
Evite instalar apps pirateados, mantenha o sistema operacional atualizado, use antivírus confiáveis, prefira QR Codes para transferências, confirme endereços por múltiplos canais e sempre verifique os primeiros e últimos caracteres de dados sensíveis antes de colar ou confirmar transações.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 2 dias
Console Nintendo Switch com jogo

Imperdível!

Console Nintendo Switch com jogo

R$ 1.868,29

Gamer mercadolivre.com.brnew_releases
Smart TV LG 60" 4K UHD 60UA85
20% off

Cupom POUPE15

Smart TV LG 60" 4K UHD 60UA85

R$ 2.788,00

TV amazon.com.brnew_releases
Smart TV HQ 32" Hqs32nkhm
21% off

Garanta a sua!

Smart TV HQ 32" Hqs32nkhm

R$ 781,08

TV mercadolivre.com.brnew_releases
Smartphone Motorola Moto G86, 256GB + fone Moto Buds
33% off

Cupom HELLO100

Smartphone Motorola Moto G86, 256GB + fone Moto Buds

R$ 1.609,00

Celulares motorola.com.brnew_releases
Smartwatch Samsung Galaxy Watch Ultra
52% off

Aproveite a oferta!

Smartwatch Samsung Galaxy Watch Ultra

R$ 2.399,00

Eletro amazon.com.brnew_releases
Smartphone Motorola Razr 60, 256GB
40% off

Garanta o seu!

Smartphone Motorola Razr 60, 256GB

R$ 3.319,00

Celulares amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA