픽스틸러

PixStealer는 Pix 지불 시스템을 표적으로 삼고 피해자의 자금을 비우는 것을 목표로 하는 Android 뱅킹 트로이 목마입니다. Pix는 브라질 중앙은행에서 2020년 출시한 즉시결제 솔루션입니다. 그 이후로 이 애플리케이션은 하루에 4천만 건의 거래를 누적하고 일주일 동안 총 47억 달러 상당의 이체를 처리했습니다. 사이버 범죄자들이 이제 애플리케이션을 표적으로 삼기 시작한 것은 놀라운 일이 아닙니다.

Check Point Research의 조사 결과에 따르면 PixStealer 위협은 가짜 PagBank Cashback 서비스 애플리케이션에 의해 유포되었습니다. 유일한 목표는 브라질의 PagBank였습니다. 위협적인 애플리케이션은 Google Play 스토어에서 다운로드할 수 있었습니다.

위협적인 능력

PixStealer 위협은 Pix 거래를 통해 피해자의 돈을 징수할 수 있는 전례 없는 기술을 보여줍니다. 위협의 또 다른 특징은 극도로 미니멀하다는 것입니다. 위협 행위자는 최근 안드로이드 뱅킹 트로이목마가 점점 교묘해지고 있는 추세와 반대 방향으로 가고 있습니다. 대신 PixStealer에는 대상 은행 애플리케이션의 자격 증명 수집과 같은 일반적인 은행 기능을 수행하는 기능이 없습니다. 명령 및 제어(C&C, C2) 서버와도 통신할 수 없습니다.

실질적으로 이것은 PixStealer가 공격자로부터 지시를 받을 수 없고 업데이트할 수 없으며 장치에서 정보를 업로드할 수 없음을 의미합니다. 그러나 이 접근 방식을 사용하면 위협이 최소한의 권한에 의존할 수 있으며 피해자의 자금을 사이버 범죄자가 제어하는 계정으로 전송하는 유일한 기능을 수행하는 동안 잠재적으로 훨씬 더 오랫동안 숨겨져 있습니다. 합법적인 Android 접근성 서비스를 남용하여 이러한 유해한 목표를 달성합니다.

접근성 서비스는 다양한 장애가 있는 사람들이 훨씬 더 편안하게 휴대폰을 사용할 수 있도록 구현되었습니다. 그러나 해커는 위협적인 창작물에 서비스에 대한 액세스 권한이 부여된 경우 악용하여 장치에서 수많은 침입 작업을 수행할 수 있음을 빨리 깨달았습니다. 접근성 서비스의 가장 악용되는 측면은 장치 화면에서 발생하는 모든 활동을 가로채고 모니터링하는 기능입니다.

PixStealer의 공격

가짜 응용 프로그램이 시작되면 '캐시백' 기능을 가장하여 접근성 서비스 권한을 요청하는 메시지 상자가 피해자에게 표시됩니다. 다음으로 피해자에게 동기화를 위해 PagBank 응용 프로그램을 열라는 메시지를 표시합니다. 받은 권한으로 위협 요소는 응용 프로그램 자체를 쉽게 열 수 있지만 사용자가 직접 수행하도록 하는 것은 덜 의심스럽습니다.

피해자가 애플리케이션을 열고 자격 증명을 입력하면 위협 요소는 접근성 서비스를 악용하여 '표시' 버튼을 누르는 것을 시뮬레이션하고 계정의 현재 잔액을 검색합니다. PixStealer는 가짜 오버레이를 표시하고 사용자에게 존재하지 않는 '동기화'가 완료될 때까지 기다리라고 요청합니다.그러나 배경에서 위협은 자금을 빼돌려 공격자의 계정으로 이체하는 것입니다.