PixStealer retter sig mod kunder i den brasilianske PagBank

I dag er bankindustrien stærkt digitaliseret, og det åbner masser af nye muligheder for cyberkriminelle. Især en region er stærkt ramt af alle slags trojanere - Latinamerika. For nylig blev en ny malware -familie opdaget i regionen. Truslen, kaldet PixStealer, er en Android Banking Trojan, der har en meget ejendommelig angrebsmetode.

PixStealer ser ud til at være et meget simpelt projekt, men det betyder ikke, at det ikke er effektivt til det, det gør. Takket være at holde dens funktioner til et minimum, håber dets skabere at unddrage sig størstedelen af Android's sikkerhedsfunktioner. For at gøre sagen endnu værre blev PixStealer midlertidigt hostet i den officielle Google Play Butik, der potentielt kan inficere tusindvis af brugere i Brasilien. Denne særlige malware var skjult under appen PagBank Cashback, og som navnet antyder, målrettede den sig mod brugere af PagBank -pengeinstituttet. Denne institution opererer kun i Brasilien, og den bruger nogle meget robuste sikkerhedsfunktioner til at beskytte sine kunders midler. PixStealer kan dog komme uden om disse funktioner ved at bruge en enkel, men effektiv metode til at hæfte midler ud af offerets konti.

Begrænsede funktioner gør PixStealer Stealthier end andre trojanske heste

Til at begynde med har PixStealer ikke mulighed for at kommunikere med en fjernserver. Ofte har Android -trojanere brug for denne funktionalitet for at overføre data og modtage yderligere instruktioner. PixStealer fungerer dog i offline -tilstand, og den har kun brug for tilladelse til at bruge 'Android Accessibility Service' for at fungere. Offeret kan let give det sådanne tilladelser, fordi de har indtryk af, at de interagerer med en legitim PagBank -app.

Når brugerne åbner den ondsindede app, starter den instruktioner om, hvad de derefter skal gøre med brug af vildledende prompts. Ofre skal først åbne den legitime PagBank -app til 'synkronisering'. Når dette sker, logger PixStealer Trojan offerets tilgængelige midler og gemmer det til senere brug. Efter dette viser det et falsk overlay, der beder brugeren om at vente, indtil synkroniseringen er fuldført. Dette trin er meget vigtigt, fordi det forhindrer brugeren i at se, hvad der sker i baggrunden. PixStealer interagerer med den legitime PagBank -software for at hæfte offerets midler til angriberens konto.

Typisk kræver denne type overførsel flere former for verifikation - 2FA via SMS, dokumentupload og endda en selfie med kameraet. Men da overførslen sker fra brugerens rigtige enhed, må PagBank muligvis ikke bruge sådanne robuste verifikationsforanstaltninger - de har indtryk af, at al aktivitet er legitim. I øjeblikket fungerer PixStealer kun med den Brasilien-baserede PagBank. Det ville dog ikke være en overraskelse, hvis dets skabere opretter skræddersyede versioner til at gå efter andre populære Android -bankapplikationer. Vær sikker på sådanne angreb ved at bruge velrenommerede Android -antivirustjenester.