PixStealer

O PixStealer é um Trojan Android bancário que tem como alvo o sistema de pagamento Pix e tem como objetivo esvaziar os fundos da vítima. O Pix é uma solução de pagamento instantâneo lançada em 2020 pelo Banco Central do Brasil. Desde então, o aplicativo conseguiu acumular 40 milhões de transações por dia e um total de US $4,7 bilhões em transferências em uma semana. Não é de se admirar que os cibercriminosos agora estejam começando a visar o aplicativo.

De acordo com as descobertas do Check Point Research, a ameaça PixStealer foi distribuída por um falso aplicativo de serviço PagBank Cashback. Seu único alvo era o PagBank brasileiro. O aplicativo ameaçador estava disponível para download na Google Play Store.

Capacidades Ameaçadoras

A ameaça PixStealer exibe uma técnica nunca antes vista que permite coletar o dinheiro da vítima por meio de transações Pix. Outra característica distintiva da ameaça é que ela é extremamente minimalista. O ator da ameaça foi na direção oposta à tendência recente entre os cavalos de Trojans bancários do Android cada vez mais sofisticados. Em vez disso, o PixStealer carece da funcionalidade para executar qualquer uma das funções comuns de um banco, como a coleta de credenciais de aplicativos bancários visados. Ele também não pode se comunicar com um servidor de comando e controle (C&C, C2).

Em termos práticos, isso significa que o PixStealer não pode receber instruções dos atacantes. não pode ser atualizado e não pode carregar nenhuma informação do dispositivo. No entanto, essa abordagem permite que a ameaça dependa de permissões mínimas e potencialmente permaneça oculta por muito mais tempo enquanto exerce sua única função - transferir os fundos da vítima para uma conta controlada pelos cibercriminosos. Ele atinge esse objetivo prejudicial abusando do legítimo serviço de acessibilidade do Android.

O Serviço de Acessibilidade foi implementado para ajudar pessoas com várias deficiências a operar seus telefones com muito mais conforto. No entanto, os hackers perceberam rapidamente que, se suas criações ameaçadoras tivessem acesso ao serviço, eles poderiam abusar dele para realizar várias ações intrusivas no dispositivo. O aspecto mais abusado do Serviço de Acessibilidade é sua capacidade de interceptar e monitorar todas as atividades que ocorrem na tela do dispositivo.

O Ataque ao PixStealer

Quando o aplicativo falso é iniciado, ele mostra à vítima uma caixa de mensagem que pede permissões do Serviço de Acessibilidade sob o pretexto da funcionalidade de 'reembolso'. Em seguida, ele solicita que a vítima abra o aplicativo PagBank para uma suposta sincronização. Com as permissões que recebeu, a ameaça pode abrir facilmente o próprio aplicativo, mas deixar que os próprios usuários façam isso é menos suspeito.

Depois que as vítimas abrem o aplicativo e inserem suas credenciais, a ameaça abusa do Serviço de Acessibilidade para simular um toque no botão 'Mostrar' e recuperar o saldo atual da conta. O PixStealer exibe uma sobreposição falsa e pede ao usuário para esperar a 'sincronização' inexistente terminar. No entanto, em segundo plano, a ameaça está desviando os fundos e transferindo-os para a conta do invasor.

Tendendo

Mais visto

Carregando...