PixStealer

PixStealer to trojan bankowy dla Androida, który atakuje system płatności Pix i ma na celu opróżnienie funduszy ofiary. Pix to rozwiązanie do płatności natychmiastowych wprowadzone w 2020 roku przez Bank Centralny Brazylii. Od tego czasu aplikacja zdołała zgromadzić 40 milionów transakcji dziennie i łączną wartość przelewów o wartości 4,7 miliarda dolarów w ciągu tygodnia. Nic dziwnego, że cyberprzestępcy zaczynają teraz atakować tę aplikację.

Zgodnie z ustaleniami firmy Check Point Research zagrożenie PixStealer było rozpowszechniane przez fałszywą aplikację usługi PagBank Cashback. Jego jedynym celem był brazylijski PagBank. Groźna aplikacja była dostępna do pobrania w sklepie Google Play.

Zdolności grożące

Zagrożenie PixStealer wykorzystuje niespotykaną wcześniej technikę, która pozwala mu zbierać pieniądze ofiary za pośrednictwem transakcji Pix. Kolejną cechą wyróżniającą zagrożenie jest to, że jest niezwykle minimalistyczne. Aktor zagrożeń poszedł w przeciwnym kierunku niż niedawny trend wśród trojanów bankowych dla Androida, który staje się coraz bardziej wyrafinowany. Zamiast tego PixStealer nie ma możliwości wykonywania jakichkolwiek typowych funkcji bankowych, takich jak zbieranie danych uwierzytelniających docelowych aplikacji bankowych. Nie może również komunikować się z serwerem Command-and-Control (C&C, C2).

W praktyce oznacza to, że PixStealer nie może otrzymywać instrukcji od atakujących, nie może być aktualizowany i nie może przesyłać żadnych informacji z urządzenia. Takie podejście pozwala jednak zagrożeniu polegać na minimalnych uprawnieniach i potencjalnie pozostawać w ukryciu przez znacznie dłuższy czas, jednocześnie realizując swoją jedyną funkcję - przenoszenie środków ofiary na konto kontrolowane przez cyberprzestępców. Osiąga ten szkodliwy cel, nadużywając legalnej usługi ułatwień dostępu Androida.

Usługa ułatwień dostępu została wdrożona, aby pomóc osobom z różnymi niepełnosprawnościami w znacznie wygodniejszej obsłudze telefonów. Jednak hakerzy szybko zdali sobie sprawę, że jeśli ich groźne kreacje uzyskają dostęp do usługi, mogą nadużyć do wykonywania wielu natrętnych działań na urządzeniu. Najbardziej nadużywanym aspektem Usługi ułatwień dostępu jest jej zdolność do przechwytywania i monitorowania wszystkich czynności zachodzących na ekranie urządzenia.

Atak PixStealera

Po uruchomieniu fałszywej aplikacji wyświetla ofierze okno komunikatu z prośbą o uprawnienia do usługi ułatwień dostępu pod pretekstem funkcji „cashback”. Następnie prosi ofiarę o otwarcie aplikacji PagBank w celu rzekomej synchronizacji. Dzięki otrzymanym uprawnieniom zagrożenie może z łatwością otworzyć samą aplikację, ale pozwolenie użytkownikom na zrobienie tego samodzielnie jest mniej podejrzane.

Gdy ofiara otworzy aplikację i wprowadzi swoje dane uwierzytelniające, zagrożenie wykorzystuje usługę ułatwień dostępu, symulując dotknięcie przycisku „Pokaż” i pobiera aktualne saldo konta. PixStealer wyświetla fałszywą nakładkę i prosi użytkownika, aby poczekał na zakończenie nieistniejącej „synchronizacji”.Jednak w tle zagrożeniem jest wyprowadzanie środków i przekazywanie ich na konto atakującego.