PixStealer

PixStealer is een Android Banking-trojan die zich richt op het Pix-betalingssysteem en het geld van het slachtoffer wil legen. Pix is een directe betalingsoplossing die in 2020 is gelanceerd door de Centrale Bank van Brazilië. Sindsdien is de applicatie erin geslaagd om 40 miljoen transacties per dag te verzamelen en een totaal van $ 4,7 miljard aan overschrijvingen in een week. Het is geen wonder dat cybercriminelen zich nu beginnen te richten op de applicatie.

Volgens de bevindingen van Check Point Research werd de PixStealer-dreiging verspreid door een valse PagBank Cashback-servicetoepassing. Het enige doelwit was de Braziliaanse PagBank. De bedreigende applicatie was beschikbaar om te downloaden in de Google Play Store.

Dreigende mogelijkheden

De PixStealer-dreiging vertoont een nooit eerder vertoonde techniek waarmee het het geld van het slachtoffer kan innen via Pix-transacties. Een ander onderscheidend kenmerk van de dreiging is dat deze uiterst minimalistisch is. De dreigingsactor is in de tegenovergestelde richting gegaan van de recente trend onder Android Banking-trojans die steeds geavanceerder worden. In plaats daarvan mist PixStealer de functionaliteit om een van de gebruikelijke bankfuncties uit te voeren, zoals het verzamelen van inloggegevens van gerichte bankapplicaties. Het kan ook niet communiceren met een Command-and-Control (C&C, C2) server.

In de praktijk betekent dit dat PixStealer geen instructies van de aanvallers kan ontvangen, niet kan worden bijgewerkt en geen informatie van het apparaat kan uploaden. Door deze aanpak kan de dreiging echter vertrouwen op minimale machtigingen en mogelijk veel langer verborgen blijven terwijl het zijn enige functie heeft: het geld van het slachtoffer overmaken naar een rekening die wordt beheerd door de cybercriminelen. Het bereikt dit schadelijke doel door misbruik te maken van de legitieme Android Accessibility Service.

De Toegankelijkheidsservice is geïmplementeerd om mensen met verschillende handicaps te helpen hun telefoons veel comfortabeler te bedienen. De hackers realiseerden zich echter snel dat als hun bedreigende creaties toegang kregen tot de service, ze misbruik konden maken om talloze intrusieve acties op het apparaat uit te voeren. Het meest misbruikte aspect van de toegankelijkheidsservice is de mogelijkheid om alle activiteiten op het scherm van het apparaat te onderscheppen en te controleren.

De aanval van PixStealer

Wanneer de nep-applicatie wordt gestart, toont het het slachtoffer een berichtvenster waarin om toestemming van de toegankelijkheidsservice wordt gevraagd onder het voorwendsel van 'cashback'-functionaliteit. Vervolgens wordt het slachtoffer gevraagd om de PagBank-toepassing te openen voor vermeende synchronisatie. Met de machtigingen die het heeft gekregen, kan de dreiging de toepassing gemakkelijk zelf openen, maar de gebruikers het zelf laten doen is minder verdacht.

Zodra de slachtoffers de applicatie hebben geopend en hun inloggegevens hebben ingevoerd, maakt de dreiging misbruik van de Toegankelijkheidsservice om een tik op de knop 'Weergeven' te simuleren en het huidige saldo van de rekening op te halen. PixStealer toont een nep-overlay en vraagt de gebruiker te wachten tot de niet-bestaande 'synchronisatie' is voltooid.Op de achtergrond hevelt de dreiging echter het geld over en maakt het over naar de rekening van de aanvaller.