PixStealer

PixStealer, Pix ödeme sistemini hedefleyen ve kurbanın fonunu boşaltmayı amaçlayan bir Android Bankacılık Truva Atı'dır. Pix, Brezilya Merkez Bankası tarafından 2020 yılında başlatılan bir anında ödeme çözümüdür. O zamandan beri, uygulama günde 40 milyon işlem ve bir haftada toplam 4,7 milyar dolarlık transfer biriktirmeyi başardı. Siber suçluların artık uygulamayı hedef almaya başlaması şaşırtıcı değil.

Check Point Research'ün bulgularına göre, PixStealer tehdidi sahte bir PagBank Cashback hizmet uygulaması tarafından dağıtıldı. Tek hedefi Brezilyalı PagBank'tı. Tehditkar uygulama, Google Play mağazasında indirilebilir durumdaydı.

Tehdit Edici Yetenekler

PixStealer tehdidi, Pix işlemleri yoluyla kurbanın parasını toplamasına izin veren daha önce hiç görülmemiş bir teknik sergiliyor. Tehdidin bir diğer ayırt edici özelliği de son derece minimalist olmasıdır. Tehdit aktörü, giderek daha karmaşık hale gelen Android Bankacılık Truva Atları arasındaki son eğilimin tersi yönünde gitti. Bunun yerine, PixStealer, hedeflenen banka uygulamalarının kimlik bilgilerini toplamak gibi ortak bankacı işlevlerinden herhangi birini gerçekleştirme işlevinden yoksundur. Komut ve Kontrol (C&C, C2) sunucusuyla da iletişim kuramaz.

Pratik anlamda bu, PixStealer'ın saldırganlardan talimat alamayacağı, güncellenemeyeceği ve cihazdan herhangi bir bilgi yükleyemediği anlamına gelir. Bununla birlikte, bu yaklaşım, tehdidin minimum izinlere dayanmasına ve potansiyel olarak tek işlevini - kurbanın fonlarını siber suçlular tarafından kontrol edilen bir hesaba transfer etmek - yerine getirirken çok daha uzun süre gizli kalmasına izin verir. Bu zararlı amaca meşru Android Erişilebilirlik Hizmetini kötüye kullanarak ulaşır.

Erişilebilirlik Hizmeti, çeşitli engelli kişilerin telefonlarını çok daha rahat kullanmalarına yardımcı olmak için hayata geçirildi. Bununla birlikte, bilgisayar korsanları, tehdit edici yarattıklarına hizmete erişim izni verilirse, cihazda çok sayıda müdahaleci eylem gerçekleştirmek için kötüye kullanabileceklerini çabucak anladılar. Erişilebilirlik Hizmetinin en çok suistimal edilen yönü, cihazın ekranında gerçekleşen tüm etkinlikleri engelleme ve izleme yeteneğidir.

PixStealer'ın Saldırısı

Sahte uygulama başlatıldığında, kurbana 'geri ödeme' işlevi bahanesiyle Erişilebilirlik Hizmeti izinlerini isteyen bir mesaj kutusu gösterir. Ardından, kurbandan sözde senkronizasyon için PagBank uygulamasını açmasını ister. Tehdit, aldığı izinlerle uygulamanın kendisini kolayca açabilir, ancak kullanıcıların kendilerinin yapmasına izin vermek daha az şüphelidir.

Mağdurlar uygulamayı açıp kimlik bilgilerini girdikten sonra tehdit, 'Göster' düğmesine bir tıklamayı simüle etmek ve hesabın mevcut bakiyesini almak için Erişilebilirlik Hizmetini kötüye kullanır. PixStealer sahte bir bindirme görüntüler ve kullanıcıdan var olmayan 'senkronizasyonun' bitmesini beklemesini ister.Ancak arka planda tehdit, fonları sifonlamak ve saldırganın hesabına aktarmaktır.