(Bruno Peres/Agência Brasil) Leia mais em: https://veja.abril.com.br/economia/golpe-do-imposto-de-renda-aplicativo-falso-infecta-16-mil-celulares/Especialistas em cibersegurança alertam para o aumento de golpes digitais durante o período de entrega da declaração do Imposto de Renda 2026. Criminosos usam o tema para tentar obter dados pessoais e induzir o contribuinte a realizar pagamentos indevidos.
A Redbelt Security, empresa de segurança da informação, identificou um aplicativo falso que simulava o app da Receita Federal. O programa somou mais de 16 mil downloads antes de ser retirado de uma loja não oficial e pode ter feito milhares de vítimas.
Golpe do Imposto de renda
Foto: (Bruno Peres/Agência Brasil)
O prazo para declarar o Imposto de Renda vai até 29 de maio. Quem é obrigado a prestar contas e atrasa o envio paga multa mínima de R$ 165,74, que pode chegar a 20% do imposto devido no ano. Também há outras consequências, como ficar com o CPF pendente, caso a declaração não seja entregue.
Eduardo Lopes, CEO da Redbelt, explica que aplicativos criados por cibercriminosos recriam o app da Receita e oferecem falsos serviços, como preenchimento da declaração, consulta de débitos e acesso a recibos. Segundo ele, o usuário acredita estar em um ambiente legítimo e acaba fornecendo dados do Portal Gov.br sem perceber a irregularidade.
Com isso, os golpistas passam a coletar informações sensíveis. Além do CPF, podem ser capturadas senhas salvas no celular ou tablet, cookies de sessão bancária, credenciais corporativas e documentos armazenados.
No caso de RATs [vírus de acesso remoto], o criminoso passa a ter o controle do aparelho, conseguindo acessar arquivos, registrar o que é digitado e visualizar a tela em tempo real Eduardo Lopes
Durante o monitoramento, a empresa identificou cerca de dez aplicativos maliciosos ligados ao IR 2026. As amostras analisadas usam nomes de órgãos oficiais, linguagem técnica e canais de suporte para aumentar a credibilidade. Os aplicativos circularam em lojas não oficiais, fora do Google Play Store (Android) e da App Store (iOS), que adotam processos de verificação mais rigorosos.
Pesquisadores da Eset Brasil, empresa global de segurança cibernética, identificaram outro tipo de fraude. O golpe começa com o envio de links por email, SMS ou WhatsApp, com alertas falsos de “CPF irregular” ou “pendências com a Receita”.
Ao entrar no site, a vítima informa o CPF em uma suposta consulta gratuita. Em seguida, a página exibe um aviso de alto risco fiscal e impõe um prazo curto para regularização da falsa pendência. Os golpistas mostram dados reais do usuário e apresentam um relatório falso com valores, juros e multas, simulando uma dívida ativa.
Thales Santos, especialista em segurança da informação na Eset Brasil, afirma que o golpe combina engenharia social com uso de dados vazados. Ele aponta que a dinâmica de criação e derrubada frequente desses sites dificulta o mapeamento dos criminosos e destaca a possibilidade de as informações das vítimas terem sido vazadas anteriormente em alguma brecha de segurança.
O especialista também alerta que a sensação de urgência reduz a verificação das informações. Os golpistas se valem da pressão para acelerar decisões e chegam a oferecer descontos que diminuem a suposta dívida, levando muitos usuários a agir rapidamente em vez de checar a origem da mensagem.
Quem vai declarar pelo aplicativo da Receita deve redobrar a atenção e baixar o app apenas na loja oficial. Outra opção é entregar o IR por meio do Programa Gerador da Declaração (PGD), cujo download é feito diretamente no site da Receita.
Também é possível declarar online no portal Centro de Atendimento Virtual (e-CAC), em Meu Imposto de Renda.
Para evitar prejuízos financeiros e proteger dados pessoais, a Receita Federal reforça que não envia links para a regularização de pendências e recomenda:
