PixStealer

PixStealer - это банковский троянец для Android, который нацелен на платежную систему Pix и стремится опустошить средства жертвы. Pix - это решение для мгновенных платежей, запущенное в 2020 году Центральным банком Бразилии. С тех пор приложение сумело накапливать 40 миллионов транзакций в день и переводы на общую сумму 4,7 миллиарда долларов за неделю. Неудивительно, что киберпреступники начали атаковать приложение.

Согласно выводам Check Point Research, угроза PixStealer распространялась поддельным сервисным приложением PagBank Cashback. Его единственной целью был бразильский банк PagBank. Угрожающее приложение было доступно для скачивания в магазине Google Play.

Угрожающие возможности

Угроза PixStealer демонстрирует невиданный ранее метод, позволяющий собирать деньги жертвы с помощью транзакций Pix. Еще одна отличительная черта угрозы - ее предельно минималистичный характер. Злоумышленник пошел в направлении, противоположном недавней тенденции, когда банковские трояны Android становятся все более и более изощренными. Вместо этого PixStealer не хватает функциональности для выполнения каких-либо обычных банковских функций, таких как сбор учетных данных целевых банковских приложений. Он также не может взаимодействовать с сервером Command-and-Control (C&C, C2).

На практике это означает, что PixStealer не может получать инструкции от злоумышленников, не может быть обновлен и не может выгружать какую-либо информацию с устройства. Однако такой подход позволяет угрозе полагаться на минимальные разрешения и потенциально оставаться скрытой намного дольше, выполняя свою единственную функцию - переводить средства жертвы на счет, контролируемый киберпреступниками. Эта вредоносная цель достигается за счет злоупотребления законной службой специальных возможностей Android.

Служба доступности была внедрена, чтобы помочь людям с различными ограниченными возможностями более комфортно пользоваться своими телефонами. Однако хакеры быстро поняли, что, если их угрожающим творениям будет предоставлен доступ к службе, они могут злоупотреблять, чтобы выполнять многочисленные второстепенные действия на устройстве. Наиболее часто злоупотребляемым аспектом службы доступности является ее способность перехватывать и отслеживать все действия, происходящие на экране устройства.

Атака PixStealer

Когда фальшивое приложение запускается, оно показывает жертве окно сообщения, в котором запрашиваются разрешения службы доступности под предлогом функции «кэшбэк». Затем он предлагает жертве открыть приложение PagBank для предполагаемой синхронизации. С полученными разрешениями угроза может легко открыть само приложение, но позволить пользователям делать это самим менее подозрительно.

Как только жертвы открывают приложение и вводят свои учетные данные, угроза злоупотребляет Службой доступности, чтобы имитировать нажатие на кнопку «Показать» и получить текущий баланс учетной записи. PixStealer отображает поддельный оверлей и просит пользователя дождаться завершения несуществующей «синхронизации».Однако в фоновом режиме угроза выкачивает средства и переводит их на счет злоумышленника.