PixStealer

PixStealer 是一种针对 Pix 支付系统的 Android 银行木马，旨在清空受害者的资金。 Pix 是巴西中央银行于 2020 年推出的即时支付解决方案。从那时起，该应用程序每天累计完成 4000 万笔交易，一周内转账总额达 47 亿美元。难怪网络犯罪分子现在开始瞄准该应用程序。

根据 Check Point Research 的调查结果，PixStealer 威胁是由伪造的 PagBank Cashback 服务应用程序分发的。它的唯一目标是巴西的 PagBank。该威胁应用程序可在 Google Play 商店下载。

威胁能力

PixStealer 威胁展示了一种前所未见的技术，允许它通过 Pix 交易收集受害者的钱。该威胁的另一个显着特征是它非常简约。 Android 银行木马程序变得越来越复杂，威胁行为者与最近的趋势背道而驰。相反，PixStealer 缺乏执行任何常见银行家功能的功能，例如收集目标银行应用程序的凭据。它也不能与命令和控制（C&C、C2）服务器通信。

实际上，这意味着 PixStealer 无法接收攻击者的指令，无法更新，也无法从设备上传任何信息。然而，这种方法允许威胁依赖最低限度的权限，并且在追求其唯一功能时可能会隐藏更长时间 - 将受害者的资金转移到由网络犯罪分子控制的帐户。它通过滥用合法的 Android 无障碍服务来实现这一有害目标。

无障碍服务旨在帮助各种残疾人士更舒适地操作手机。然而，黑客很快意识到，如果他们的威胁创作被授予访问服务的权限，他们可能会滥用在设备上执行大量侵入性操作。无障碍服务最被滥用的方面是它能够拦截和监控设备屏幕上发生的所有活动。

PixStealer的攻击

当虚假应用程序启动时，它会向受害者显示一个消息框，以“现金返还”功能为幌子要求提供无障碍服务权限。接下来，它会提示受害者打开 PagBank 应用程序以进行假定的同步。有了它所获得的权限，威胁就可以轻松地打开应用程序本身，但让用户自己进行操作就不那么可疑了。

一旦受害者打开应用程序并输入他们的凭据，威胁就会滥用辅助服务来模拟点击“显示”按钮并检索帐户的当前余额。 PixStealer 显示一个虚假的叠加层，并要求用户等待不存在的“同步”完成。然而，在后台，威胁正在窃取资金并将其转移到攻击者的账户。