PixStealer

PixStealer 是一種針對 Pix 支付系統的 Android 銀行木馬，旨在清空受害者的資金。 Pix 是巴西中央銀行於 2020 年推出的即時支付解決方案。從那時起，該應用程序每天累計完成 4000 萬筆交易，一周內轉賬總額達 47 億美元。難怪網絡犯罪分子現在開始瞄準該應用程序。

根據 Check Point Research 的調查結果，PixStealer 威脅是由偽造的 PagBank Cashback 服務應用程序分發的。它的唯一目標是巴西的 PagBank。該威脅應用程序可在 Google Play 商店下載。

威脅能力

PixStealer 威脅展示了一種前所未見的技術，允許它通過 Pix 交易收集受害者的錢。該威脅的另一個顯著特徵是它非常簡約。 Android 銀行木馬程序變得越來越複雜，威脅行為者與最近的趨勢背道而馳。相反，PixStealer 缺乏執行任何常見銀行家功能的功能，例如收集目標銀行應用程序的憑據。它也不能與命令和控制（C&C、C2）服務器通信。

實際上，這意味著 PixStealer 無法接收攻擊者的指令，無法更新，也無法從設備上傳任何信息。然而，這種方法允許威脅依賴最低限度的權限，並且在追求其唯一功能時可能會隱藏更長時間 - 將受害者的資金轉移到由網絡犯罪分子控制的帳戶。它通過濫用合法的 Android 無障礙服務來實現這一有害目標。

無障礙服務旨在幫助各種殘疾人士更舒適地操作手機。然而，黑客很快意識到，如果他們的威脅創作被授予訪問服務的權限，他們可能會濫用在設備上執行大量侵入性操作。無障礙服務最被濫用的方面是它能夠攔截和監控設備屏幕上發生的所有活動。

PixStealer的攻擊

當虛假應用程序啟動時，它會向受害者顯示一個消息框，以“現金返還”功能為幌子要求提供無障礙服務權限。接下來，它會提示受害者打開 PagBank 應用程序以進行假定的同步。有了它所獲得的權限，威脅就可以輕鬆地打開應用程序本身，但讓用戶自己進行操作就不那麼可疑了。

一旦受害者打開應用程序並輸入他們的憑據，威脅就會濫用輔助服務來模擬點擊“顯示”按鈕並檢索帳戶的當前餘額。 PixStealer 顯示一個虛假的疊加層，並要求用戶等待不存在的“同步”完成。然而，在後台，威脅正在竊取資金並將其轉移到攻擊者的賬戶。