PixStealer

PixStealer è un trojan bancario Android che prende di mira il sistema di pagamento Pix e mira a svuotare il fondo della vittima. Pix è una soluzione di pagamento istantaneo lanciata nel 2020 dalla Banca Centrale del Brasile. Da allora, l'applicazione è riuscita ad accumulare 40 milioni di transazioni al giorno e un totale di 4,7 miliardi di dollari di trasferimenti in una settimana. Non c'è da meravigliarsi se i criminali informatici stanno iniziando a prendere di mira l'applicazione.

Secondo i risultati di Check Point Research, la minaccia PixStealer è stata distribuita da una falsa applicazione del servizio PagBank Cashback. Il suo unico obiettivo era la PagBank brasiliana. L'applicazione minacciosa era disponibile per il download sul Google Play Store.

Capacità minacciose

La minaccia PixStealer presenta una tecnica mai vista prima che gli consente di raccogliere i soldi della vittima tramite transazioni Pix. Un'altra caratteristica distintiva della minaccia è che è estremamente minimalista. L'attore delle minacce è andato nella direzione opposta rispetto alla recente tendenza tra i trojan bancari per Android che stanno diventando sempre più sofisticati. Invece, PixStealer non ha la funzionalità per eseguire una qualsiasi delle funzioni bancarie comuni, come la raccolta di credenziali di applicazioni bancarie mirate. Non può nemmeno comunicare con un server Command-and-Control (C&C, C2).

In termini pratici, ciò significa che PixStealer non può ricevere istruzioni dagli aggressori, non può essere aggiornato e non può caricare alcuna informazione dal dispositivo. Tuttavia, questo approccio consente alla minaccia di fare affidamento su autorizzazioni minime e potenzialmente rimanere nascosta molto più a lungo mentre persegue la sua unica funzione: trasferire i fondi della vittima su un conto controllato dai criminali informatici. Raggiunge questo obiettivo dannoso abusando del legittimo servizio di accessibilità Android.

Il servizio di accessibilità è stato implementato per aiutare le persone con varie disabilità a utilizzare i propri telefoni in modo molto più confortevole. Tuttavia, gli hacker si sono resi conto rapidamente che se alle loro creazioni minacciose fosse stato concesso l'accesso al servizio, avrebbero potuto abusarne per eseguire numerose azioni intrusive sul dispositivo. L'aspetto più abusato del Servizio Accessibilità è la sua capacità di intercettare e monitorare tutte le attività che si svolgono sullo schermo del dispositivo.

L'attacco di PixStealer

Quando l'applicazione falsa viene avviata, mostra alla vittima una finestra di messaggio che richiede le autorizzazioni del servizio di accessibilità con il pretesto della funzionalità di "cashback". Successivamente, richiede alla vittima di aprire l'applicazione PagBank per la presunta sincronizzazione. Con le autorizzazioni ricevute, la minaccia può facilmente aprire l'applicazione stessa, ma lasciare che gli utenti lo facciano da soli è meno sospetto.

Una volta che le vittime hanno aperto l'applicazione e inserito le proprie credenziali, la minaccia abusa del servizio di accessibilità per simulare un tocco sul pulsante "Mostra" e recuperare il saldo corrente dell'account. PixStealer mostra un falso overlay e chiede all'utente di attendere il termine della 'sincronizzazione' inesistente.Tuttavia, in background, la minaccia sta dirottando i fondi e trasferendoli sul conto dell'attaccante.

Tendenza

I più visti

Caricamento in corso...