PixStealer

PixStealer är en Android -banktrojan som riktar sig till Pix -betalningssystemet och syftar till att tömma offrets fond. Pix är en direktbetalningslösning som lanserades 2020 av Brasiliens centralbank. Sedan dess har applikationen lyckats samla 40 miljoner transaktioner per dag och totalt 4,7 miljarder dollar i överföringar på en vecka. Det är inte konstigt att cyberkriminella nu börjar rikta in sig på applikationen.

Enligt resultaten från Check Point Research distribuerades PixStealer -hotet av en falsk PagBank Cashback -serviceapplikation. Dess enda mål var Brazillian PagBank. Den hotfulla appen var tillgänglig för nedladdning i Google Play -butiken.

Hotande förmågor

PixStealer-hotet uppvisar en aldrig tidigare sett teknik som gör det möjligt att samla offrets pengar via Pix-transaktioner. En annan särskiljande egenskap hos hotet är att det är extremt minimalistiskt. Hotaktören har gått i motsatt riktning mot den senaste trenden bland Android Banking Trojaner som blir mer och mer sofistikerade. Istället saknar PixStealer funktionalitet för att utföra någon av de vanliga bankfunktionerna, till exempel att samla in referenser för riktade bankapplikationer. Det kan inte heller kommunicera med en Command-and-Control (C&C, C2) -server.

Rent praktiskt betyder det att PixStealer inte kan ta emot instruktioner från angriparna, inte kan uppdateras och inte ladda upp någon information från enheten. Detta tillvägagångssätt gör det dock möjligt för hotet att förlita sig på minsta behörighet och eventuellt förbli dolt mycket längre samtidigt som det utövar sin enda funktion - att överföra offrets medel till ett konto som kontrolleras av cyberkriminella. Det uppnår detta skadliga mål genom att missbruka den legitima Android -tillgänglighetstjänsten.

Tillgänglighetstjänsten implementerades för att hjälpa människor med olika funktionshinder att använda sina telefoner mycket mer bekvämt. Hackarna insåg dock snabbt att om deras hotfulla skapelser fick tillgång till tjänsten kunde de missbruka för att utföra många påträngande åtgärder på enheten. Den mest missbrukade aspekten av tillgänglighetstjänsten är dess förmåga att fånga upp och övervaka alla aktiviteter som äger rum på enhetens skärm.

PixStealers attack

När den falska applikationen startas, visar den offret en meddelanderuta som ber om tillgänglighetstjänstbehörigheter under skenet "cashback" -funktion. Därefter uppmanas offret att öppna PagBank -applikationen för förmodad synkronisering. Med de behörigheter den har fått kan hotet enkelt öppna själva applikationen men att låta användarna göra det själva är mindre misstänkt.

När offren har öppnat applikationen och angett sin legitimation missbrukar hotet tillgänglighetstjänsten för att simulera ett tryck på knappen "Visa" och hämta det aktuella saldot på kontot. PixStealer visar en falsk överläggning och ber användaren att vänta på att den obefintliga "synkroniseringen" är klar.Men i bakgrunden är hotet att häva pengarna och överföra dem till angriparens konto.