Em maio de 2026, a empresa de cibersegurança Redbelt Security identificou um aplicativo falso que simulava o app oficial da Receita Federal do Brasil. O app registrou mais de 16 mil downloads em uma loja não oficial antes de ser removido. A história é um exemplo concreto de como golpistas exploram períodos sensíveis, como a declaração do Imposto de Renda, para roubar dados pessoais e financeiros de milhões de brasileiros.
Como o golpe aconteceu
O aplicativo fraudulento reproduzia com precisão a interface do app legítimo da Receita Federal. Oferecia serviços falsos como preenchimento da declaração, consulta de débitos e acesso a recibos de anos anteriores. O visual era tão convincente que os contribuintes acreditavam estar em um ambiente oficial do governo.
Ao abrir o app, o usuário era convidado a fazer login com suas credenciais do Portal Gov.br. Nesse momento, os dados eram capturados pelos criminosos. Além do CPF e da senha do Gov.br, o aplicativo coletava senhas salvas no dispositivo, cookies de sessão bancária, credenciais corporativas e documentos armazenados no celular ou tablet.
Eduardo Lopes, CEO da Redbelt Security, explicou que algumas versões do app incluíam RATs (vírus de acesso remoto). Com esse tipo de malware, o criminoso passa a controlar o aparelho da vítima, conseguindo acessar arquivos, registrar tudo que é digitado e visualizar a tela em tempo real.
A escala do problema
Durante o monitoramento, a Redbelt identificou cerca de dez aplicativos maliciosos ligados ao IR 2026. Todos usavam nomes de órgãos oficiais, linguagem técnica e canais de suporte para parecer legítimos. Os apps circularam em lojas não oficiais, fora do Google Play Store e da App Store, que possuem processos de verificação mais rigorosos.
Em paralelo, pesquisadores da Eset Brasil identificaram outro tipo de fraude relacionada. Criminosos enviavam links por e-mail, SMS e WhatsApp com alertas falsos de \”CPF irregular\” ou \”pendências com a Receita\”. Ao acessar o site fraudulento, a vítima informava seu CPF em uma suposta consulta gratuita. A página exibia dados reais do usuário (obtidos de vazamentos anteriores) e apresentava um relatório falso com valores, juros e multas simulando uma dívida ativa.
Os números mostram que esse tipo de golpe não é caso isolado. Segundo o Fórum Brasileiro de Segurança Pública, em pesquisa divulgada em maio de 2026 com o Datafolha, 83,2% dos brasileiros temem ser vítimas de golpes digitais. O medo de fraude online superou até o medo de roubo à mão armada (82,3%) e de ser morto durante um assalto (80,7%).
A pesquisa revelou ainda que 15,8% da população com 16 anos ou mais foi vítima de golpe digital nos últimos 12 meses, o equivalente a 26,3 milhões de pessoas. Desses casos, apenas 8,2% foram registrados em boletins de ocorrência.
O papel dos apps de mensagens nos golpes
O Serpro (Serviço Federal de Processamento de Dados) alertou em 2026 que criminosos estão simulando comunicações oficiais do governo em aplicativos de mensagens. Os golpes usam mensagens que parecem vir de órgãos como Receita Federal, INSS e Detran para induzir o usuário a clicar em links maliciosos.
Esse é um problema estrutural dos apps de mensagens convencionais: qualquer pessoa pode enviar mensagens se passando por outra, e não existem mecanismos nativos de verificação de identidade. Os links maliciosos circulam livremente em grupos e conversas privadas, atingindo milhares de pessoas em minutos. Essa dinâmica é parecida com a dos golpes de phishing, que exploram a confiança do usuário para roubar credenciais.
Como se proteger
Para evitar cair nesse tipo de golpe, siga estas recomendações:
- Baixe apps apenas de lojas oficiais: Google Play Store (Android) e App Store (iOS) possuem processos de verificação que reduzem o risco de apps maliciosos.
- Acesse o site da Receita diretamente: Digite o endereço oficial (gov.br/receitafederal) no navegador. Nunca clique em links recebidos por e-mail, SMS ou mensagens.
- Desconfie de urgência: Golpistas criam prazos curtos e alertas alarmistas para pressionar a vítima. A Receita Federal não envia cobranças por WhatsApp ou SMS.
- Ative a verificação em duas etapas: No Portal Gov.br e em todos os serviços bancários, ative a autenticação de dois fatores para dificultar o acesso não autorizado.
- Verifique permissões de apps: Se um aplicativo pedir acesso a câmera, microfone ou arquivos sem necessidade, desinstale imediatamente.
PhizChat: comunicação segura contra golpes digitais
O caso do app falso do Imposto de Renda mostra como os aplicativos de mensagens convencionais se tornaram vetores de distribuição de golpes. Links maliciosos, mensagens falsas e identidades forjadas circulam sem controle nesses ambientes.
O PhizChat foi criado para enfrentar esse problema. Como app de mensagens seguro e brasileiro, o PhizChat oferece criptografia ponta a ponta em todas as conversas, verificação de identidade entre contatos e bloqueio nativo de links suspeitos. Diferente de apps convencionais, o PhizChat não permite que desconhecidos enviem mensagens não solicitadas, eliminando um dos principais canais de distribuição de golpes.
Além disso, o PhizChat está em conformidade com a LGPD e armazena dados em servidores brasileiros, garantindo soberania digital sobre as informações dos usuários. Em um cenário onde 83% dos brasileiros temem golpes digitais, escolher um app de chat brasileiro com segurança de verdade não é luxo. É necessidade.
Perguntas frequentes
O app oficial da Receita Federal é seguro?
Sim, desde que baixado diretamente pela Google Play Store ou App Store. O app oficial nunca é distribuído por links em mensagens ou lojas alternativas.
A Receita Federal envia cobranças por WhatsApp?
Não. A Receita Federal não envia cobranças, alertas ou links por WhatsApp, SMS ou e-mail. Qualquer mensagem desse tipo é golpe.
O que fazer se já baixei um app falso?
Desinstale o app imediatamente, troque todas as senhas (especialmente Gov.br e apps bancários), ative a verificação em duas etapas e registre um boletim de ocorrência online.
Como um app de mensagens seguro ajuda contra golpes?
Apps como o PhizChat bloqueiam mensagens de desconhecidos, verificam identidades e impedem a circulação de links maliciosos, reduzindo drasticamente o risco de fraude.