Segurança de QR Codes dinâmicos: quando o código é malicioso

Você entra em uma padaria em Pinheiros, São Paulo. Pede um café, lê o QR Code na maquininha SmartPOS no balcão e confirma o Pix. Segundos depois, o lojista avisa que o pagamento não caiu no sistema dele. Você abre o extrato do seu aplicativo bancário: o dinheiro saiu da sua conta. O destino? Uma conta laranja aberta com documentos falsos a 3.000 quilômetros de distância. Bem-vindo à era avançada do 'Quishing' (QR Phishing) no varejo físico.

Durante os últimos anos, cobrimos exaustivamente a evolução das fraudes financeiras aqui na Ouro Capital. Observamos a migração do roubo de senhas para a engenharia social. Agora em 2026, com o Pix respondendo por mais de 40% de todas as transações de varejo no Brasil, os criminosos mudaram o alvo. Eles não querem mais enganar o usuário pelo WhatsApp. Eles estão hackeando a infraestrutura de pagamento do lojista.

O QR Code dinâmico, vendido pelas adquirentes como o ápice da conveniência e segurança para o checkout, tornou-se um vetor silencioso de ataques. Quando um código malicioso substitui a cobrança legítima diretamente na tela da maquininha, a responsabilidade legal, o prejuízo financeiro e a confiança do cliente entram em colapso simultaneamente.

A Ilusão da Segurança no Ponto de Venda

Para entender a gravidade do problema, precisamos separar os QR Codes em duas categorias claras. O QR Code estático é aquele papel impresso no caixa. Ele carrega uma chave Pix fixa e o cliente precisa digitar o valor. É rudimentar e suscetível a fraudes físicas — como o golpista que cola um adesivo por cima do código original.

O QR Code dinâmico muda o jogo. Ele é gerado em tempo real por uma API (interface de programação de aplicações) chamada Pix Cobrança. Cada transação possui um código único, com valor pré-definido, tempo de expiração e um identificador de transação (txid). Sob a ótica do padrão EMVCo — o consórcio global que define as regras do BR Code usado pelo Banco Central —, o payload do QR Code carrega dezenas de campos de dados estruturados.

Na teoria, o fluxo é blindado. O sistema de gestão do lojista (PDV) envia o pedido para a adquirente (como Stone, PagSeguro, Rede ou Cielo). A adquirente se comúnica com o BACEN, gera o payload, calcula um checksum de validação (CRC16) e devolve a imagem para a tela da maquininha. O cliente escaneia, o aplicativo do banco lê o payload, consulta o Diretório de Identificadores de Contas Transacionais (DICT) e exibe o nome do lojista.

Na prática, a tela da maquininha tornou-se o elo fraco. Hackers perceberam que quebrar a criptografia do Banco Central é impossível, mas alterar a imagem exibida no visor de um terminal Android mal configurado é assustadoramente fácil.

Como o Malware Age: O Fantasma na Maquininha

Ataques de interceptação no ponto de venda não são novidade. O Brasil é o berço do malware Prilex, que por anos aterrorizou o comércio clonando cartões de crédito. O que nossas fontes na Polícia Federal e no COAF relatam agora é a adaptação dessas quadrilhas para o ecossistema do Pix.

O ataque moderno opera via 'Ghost Screen' (Tela Fantasma) ou ataques do tipo Man-in-the-Middle (MitM) na rede Wi-Fi do estabelecimento. Funciona assim: o lojista adquire uma maquininha SmartPOS, baseada em sistema operacional Android. Se o equipamento não tiver políticas rígidas de bloqueio (Mobile Device Management - MDM), um funcionário mal-intencionado ou um invasor remoto consegue instalar um aplicativo oculto.

Esse malware fica inativo até detectar que o aplicativo de vendas chamou a API de geração de QR Code. Em uma fração de milissegundo, o código malicioso bloqueia a resposta legítima da adquirente e injeta um payload próprio. A tela exibe um QR Code perfeito, com o valor exato da compra. A única diferença? O campo BR.GOV.BCB.PIX contém a chave de um golpista.

O cliente escaneia o código. O aplicativo do banco (Nubank, Itaú, Mercado Pago) faz o seu trabalho corretamente: decodifica o payload e mostra os dados de quem vai receber. É aqui que o golpe se concretiza. A esmagadora maioria dos consumidores não lê o nome do recebedor na tela de confirmação. Eles apenas conferem o valor — que está correto — e digitam a senha.

O Estrago no Varejo Brasileiro e a Paralisia do MED

Os números confirmam a escalada dessa vulnerabilidade. Relatórios internos de inteligência de ameaças que analisamos indicam que, apenas no último trimestre de 2025, fraudes envolvendo adulteração de QR Codes dinâmicos em pontos físicos de venda ultrapassaram a marca de R$ 180 milhões no Brasil.

Quando o golpe acontece, o caos se instaura no caixa. O cliente mostra o comprovante do banco dele provando que pagou. O lojista mostra o sistema do PDV provando que não recebeu. Quem assume o prejuízo?

O Superior Tribunal de Justiça (STJ), através da Súmula 479, possui entendimento pacificado de que as instituições financeiras respondem objetivamente pelos danos gerados por fraudes e delitos práticados por terceiros no âmbito de operações bancárias, considerando isso um risco inerente à atividade (fortuito interno). No entanto, as adquirentes argumentam que a invasão ocorreu na rede local do lojista ou por negligência no manuseio do terminal, tentando empurrar a culpa para o varejista.

O Mecanismo Especial de Devolução (MED), criado pelo Banco Central para fácilitar o estorno de transações fraudulentas, mostra-se ineficaz neste cenário específico. O MED depende que o dinheiro ainda esteja na conta de destino para ser bloqueado e devolvido. Acontece que as quadrilhas automatizaram a lavagem do dinheiro. Assim que os R$ 150 do café na padaria caem na conta laranja, um script transfere o saldo imediatamente para uma exchange de criptoativos ou o pulveriza em dezenas de outras contas. O tempo de resposta do MED — que muitas vezes exige o boletim de ocorrência e a análise do banco — é lento demais contra um roubo que dura dois segundos.

A Resposta das Adquirentes e do Banco Central

A pressão sobre a infraestrutura de pagamentos forçou uma mudança drástica de postura. O Banco Central, através de novas resoluções públicadas para fortalecer a segurança do ecossistema, passou a exigir rastreabilidade ponta a ponta na geração das cobranças.

Conversamos com engenheiros de segurança da Stone e do Mercado Pago para entender as defesas técnicas implementadas. A solução mais robusta atual envolve o conceito de 'Device Binding' acoplado à assinatura criptográfica do payload.

A maquininha física passa a ter um certificado digital único gravado em seu hardware (no Trusted Execution Environment - TEE do processador). Quando o PDV solicita um QR Code dinâmico, a adquirente devolve o código assinado criptograficamente. O aplicativo da maquininha verifica essa assinatura antes de renderizar a imagem na tela. Se um malware tentar injetar um QR Code paralelo, a verificação de assinatura falha e a maquininha trava, exibindo um alerta de fraude.

Além disso, os aplicativos dos bancos pagadores começaram a introduzir motores de risco focados no recebedor. O Nubank, por exemplo, implementou alertas visuais agressivos. Se você está em uma padaria tentando pagar um café, o GPS do seu celular sabe que você está em um comércio. Se o QR Code lido direcionar o dinheiro para uma conta de pessoa física (CPF) recém-criada, em vez de um CNPJ estabelecido com histórico de transações, o aplicativo pausa a transação e exibe: 'Você está prestes a transferir para uma conta pessoal sem histórico de vendas. Confirma o pagamento para [NOME DO GOLPISTA]?'.

Essa fricção intencional no momento do pagamento é a principal arma para quebrar o automatismo do consumidor.

Guia de Sobrevivência para Varejistas e Consumidores

Se você opera um comércio ou gerencia uma operação de varejo, a segurança da sua frente de caixa não pode ser tratada como algo secundário. A terceirização do risco para a adquirente não evita a perda do cliente que saiu da sua loja frustrado e sem o produto.

Para blindar o seu negócio, a primeira regra é o isolamento de rede. Maquininhas de cartão Wi-Fi e computadores de PDV jamais devem estar conectados na mesma rede que os clientes usam (o famoso Wi-Fi para visitantes) ou que os funcionários usam para acessar redes sociais. A segmentação da rede é a barreira primária contra ataques de interceptação.

Em segundo lugar, exija fornecedores de software de gestão (ERPs) e adquirentes que comprovem conformidade com os padrões de segurança PCI-DSS, mesmo para transações Pix. Certifique-se de que os terminais Android útilizados na sua loja estão bloqueados em modo 'Kiosk', impedindo a instalação de qualquer aplicativo externo.

Do lado do consumidor, a defesa exige uma mudança de comportamento. A conveniência do Pix nos condicionou a escanear e confirmar com a biometria em menos de três segundos. O antídoto contra o QR Code malicioso é a leitura ativa. Ao escanear o código na maquininha, olhe para a tela do seu celular. O nome do recebedor baté com o nome da loja (ou a sua razão social)? A chave é um CNPJ? Se aparecer o nome de uma pessoa física desconhecida, cancele a operação imediatamente e avise o gerente do estabelecimento.

A tecnologia de pagamentos instantâneos colocou o Brasil na vanguarda financeira global, superando sistemas tradicionais da Europa e dos Estados Unidos. Mas a inovação traz consigo predadores igualmente sofisticados. A segurança do QR Code dinâmico não depende apenas de criptografia de ponta a ponta; ela exige que lojistas e consumidores entendam que, no ecossistema digital, a tela que você olha pode ser a máscara perfeita para um roubo invisível.