PixStealer

PixStealer er en Android Banking Trojan, der er målrettet mod Pix -betalingssystemet og har til formål at tømme offerets fond. Pix er en øjeblikkelig betalingsløsning, der blev lanceret i 2020 af Brasiliens centralbank. Siden da har applikationen formået at akkumulere 40 millioner transaktioner om dagen og i alt 4,7 milliarder dollar i overførsler på en uge. Det er ikke underligt, at cyberkriminelle nu begynder at målrette applikationen.

Ifølge resultaterne fra Check Point Research blev PixStealer -truslen distribueret af en falsk PagBank Cashback -serviceapplikation. Dens eneste mål var Brazillian PagBank. Den truende applikation var tilgængelig til download i Google Play -butikken.

Truende muligheder

PixStealer-truslen udviser en aldrig før set teknik, der gør det muligt at indsamle offerets penge via Pix-transaktioner. Et andet kendetegn ved truslen er, at den er ekstremt minimalistisk. Trusselsaktøren er gået i den modsatte retning af den seneste trend blandt Android Banking Trojans, der bliver mere og mere sofistikeret. I stedet mangler PixStealer funktionaliteten til at udføre nogen af de almindelige bankfunktioner, såsom indsamling af legitimationsoplysninger for målrettede bankapplikationer. Det kan heller ikke kommunikere med en Command-and-Control (C&C, C2) server.

Rent praktisk betyder det, at PixStealer ikke kan modtage instruktioner fra angriberne, ikke kan opdateres og ikke kan uploade oplysninger fra enheden. Denne fremgangsmåde tillader imidlertid truslen at stole på minimumstilladelser og muligvis forblive skjult i længere tid, mens den udøver sin eneste funktion - at overføre offerets midler til en konto, der kontrolleres af cyberkriminelle. Det opnår dette skadelige mål ved at misbruge den legitime Android Accessibility Service.

Tilgængelighedstjenesten blev implementeret for at hjælpe mennesker med forskellige handicap med at betjene deres telefoner langt mere komfortabelt. Hackerne indså imidlertid hurtigt, at hvis deres truende kreationer fik adgang til tjenesten, kunne de misbruge at udføre mange påtrængende handlinger på enheden. Det mest misbrugte aspekt af tilgængelighedstjenesten er dets evne til at opfange og overvåge alle aktiviteter, der finder sted på enhedens skærm.

PixStealers angreb

Når den falske applikation startes, viser den offeret en meddelelsesboks, der beder om tilgængelighedstjenestetilladelser under påvisning af 'cashback' -funktionalitet. Dernæst beder det offeret om at åbne PagBank -applikationen for formodet synkronisering. Med de tilladelser, den har modtaget, kan truslen let åbne selve applikationen, men det er mindre mistænkeligt at lade brugerne gøre det selv.

Når ofre har åbnet applikationen og indtastet deres legitimationsoplysninger, misbruger truslen tilgængelighedstjenesten for at simulere et tryk på knappen 'Vis' og hente den aktuelle saldo på kontoen. PixStealer viser et falsk overlay og beder brugeren om at vente på, at den ikke-eksisterende 'synkronisering' er afsluttet.Men i baggrunden hæver truslen midlerne og overfører dem til angriberens konto.