Fraude no Imposto de Renda: aplicativo falso infecta milhares de dispositivos

Um aplicativo falso chamado "Meu Imposto de Renda", que simulava um canal oficial da Receita Federal, acumulou mais de 16 mil downloads antes de ser removido das lojas de aplicativos. O número representa 16 mil dispositivos potencialmente infectados com malware (software projetado para causar danos ou roubar informações) e é apenas uma fração do cenário identificado por especialistas em segurança cibernética às vésperas do encerramento do prazo de declaração do Imposto de Renda 2026.

Um levantamento conduzido pelo time da Redbelt Security, consultoria especializada em segurança da informação, revelou a extensão do problema. Durante o monitoramento, foram encontradas 80 páginas falsas, 26 perfis fraudulentos em redes sociais e 10 aplicativos maliciosos, todos explorando o tema da declaração do imposto de renda. Os ativos identificados utilizavam nomes semelhantes aos de órgãos oficiais, identidade visual institucional, promessas de suporte rápido e linguagem técnica para transmitir confiança às vítimas.

Segundo especialistas, o principal método utilizado nesses ataques é a engenharia social, uma técnica em que criminosos manipulam o comportamento das pessoas em vez de explorar falhas em sistemas. Nessa estratégia, os golpistas se apoiam no senso de urgência, no medo de multas, no receio de cair na malha fina e na falta de familiaridade com processos digitais para induzir usuários a fornecer dados ou realizar pagamentos. Com o prazo final de entrega da declaração se aproximando, cresce também o número de pessoas buscando ajuda rápida, e é justamente nesse momento que os fraudadores intensificam sua atuação.

Entre os 80 sites e páginas fraudulentas identificados, a maioria imitava o ambiente da Receita Federal ou promovia supostos serviços especializados para realização da declaração do Imposto de Renda 2026, incluindo ofertas de suporte jurídico tributário. As mensagens seguiam um padrão profissional, com frases como "Declare seu Imposto de Renda 2026 sem erros", "Evite multas e dores de cabeça com a Receita", "Atendimento seguro e rápido" e "Especialistas prontos para enviar sua declaração". Em muitos casos, os golpistas simulavam até mesmo escritórios contábeis ou plataformas de consultoria tributária. Os riscos observados nesses sites incluíam cobrança antecipada por serviços inexistentes, roubo de documentos pessoais, coleta de CPF e dados bancários, solicitação de acesso à conta gov.br e uso indevido das informações em fraudes futuras.

Além das páginas falsas, o levantamento da consultoria localizou outros 9 aplicativos fraudulentos, distribuídos como ferramentas para consulta de restituição, envio de declaração ou cálculo de imposto. Embora alguns aparentassem legitimidade, especialistas alertam que esse tipo de app pode servir como porta de entrada para dois tipos de ameaça com alto potencial de dano.

O primeiro são os infostealers, programas silenciosos desenvolvidos para capturar senhas salvas no celular ou navegador, dados bancários, cookies de autenticação (arquivos que mantêm a sessão do usuário ativa em sites e aplicativos), documentos armazenados e credenciais corporativas. O segundo são os RATs (Remote Access Trojans), que permitem ao invasor assumir o controle remoto do aparelho infectado. Com esse acesso, o criminoso consegue monitorar atividades, acessar arquivos, registrar tudo o que é digitado, visualizar a tela e até instalar novos malwares sem que o dono do dispositivo perceba. A recomendação dos especialistas é realizar downloads apenas por meios oficiais e sempre validar o desenvolvedor do aplicativo antes de instalar qualquer ferramenta.

Outro dado relevante do estudo foi a identificação de 26 perfis fraudulentos em redes sociais, muitos deles fazendo referência direta ao ano de 2026 e oferecendo auxílio para declaração ou regularização fiscal. Esses perfis simulavam contadores especializados, consultorias tributárias, páginas governamentais e centrais de atendimento ao contribuinte. Após conquistar a confiança da vítima, os criminosos migravam a conversa para aplicativos de mensagens e passavam a solicitar documentos, pagamentos via PIX ou acesso remoto ao dispositivo.

Segundo especialistas, as consequências de cair nesses golpes podem incluir perda financeira imediata, vazamento de dados fiscais, uso indevido de identidade, abertura de contas fraudulentas, empréstimos em nome da vítima, extorsão digital e comprometimento de contas pessoais e corporativas.

Recomendações e medidas de proteção

Para reduzir os riscos, especialistas em CTI (Cyber Threat Intelligence, área dedicada à coleta e análise de informações sobre ameaças digitais) recomendam algumas dicas que podem ajudar nesse período, mas que também se aplicam a outras épocas do ano.

- Verifique sempre os canais oficiais: a declaração deve ser feita apenas pelos canais oficiais da Receita Federal do Brasil e plataformas reconhecidas.

- Desconfie do excesso de urgência: mensagens como "último dia", "regularize agora", "bloqueio iminente" ou "sua restituição está presa" são gatilhos clássicos de fraude.

- Nunca compartilhe suas credenciais: senhas do gov.br, tokens bancários e códigos de autenticação não devem ser enviados a terceiros, em nenhuma circunstância.

- Analise perfis e sites com atenção: verifique o tempo de criação da conta, o número real de seguidores, avaliações externas, o domínio do site, erros gramaticais e promessas exageradas.

- Use autenticação em duas etapas: ative a autenticação multifator (MFA), que exige mais de uma forma de verificação para acessar uma conta, em e-mails, redes sociais, bancos e plataformas governamentais.

- Mantenha dispositivos atualizados: sistema operacional, navegador e antivírus atualizados reduzem a exposição a malwares.

- Consulte um contador legítimo: se precisar de ajuda, procure um profissional registrado e de preferência bem recomendado.

Mesmo com tecnologias avançadas de defesa, o elo mais explorado pelos criminosos continua sendo o próprio usuário. Os golpes atuais dependem menos de falhas técnicas e mais de manipulação comportamental, o que torna o período de declaração do Imposto de Renda uma janela previsível e altamente lucrativa para criminosos digitais. A sofisticação dos golpes mostra que eles já não estão improvisando; estão montando estruturas mais organizadas, com identidade visual, linguagem profissional e canais de atendimento que imitam serviços legítimos com precisão cada vez maior. A principal defesa contra esse cenário continua sendo a combinação entre atenção, verificação de origem e uso exclusivo de canais confiáveis. Em segurança digital, especialmente em épocas sensíveis como esta, rapidez sem validação pode custar caro.