PixStealer zielt auf Kunden der brasilianischen PagBank
Heutzutage ist die Bankenbranche stark digitalisiert, was Cyberkriminellen viele neue Möglichkeiten eröffnet. Insbesondere eine Region ist stark von Bank-Trojanern aller Art betroffen – Lateinamerika. Vor kurzem wurde in der Region eine neue Malware-Familie entdeckt. Die Bedrohung mit dem Namen PixStealer ist ein Android-Banking-Trojaner, der eine ganz besondere Angriffsmethode hat.
PixStealer scheint ein sehr einfaches Projekt zu sein, aber das bedeutet nicht, dass es bei dem, was es tut, nicht effizient ist. Dank der Reduzierung der Funktionen auf ein Minimum hoffen die Entwickler, die meisten Sicherheitsfunktionen von Android zu umgehen. Um die Sache noch schlimmer zu machen, wurde der PixStealer vorübergehend im offiziellen Google Play Store gehostet und könnte Tausende von Benutzern in Brasilien infizieren. Diese spezielle Malware wurde unter der App PagBank Cashback versteckt und zielte, wie der Name schon sagt, auf Benutzer des Finanzinstituts PagBank ab. Diese Institution ist nur in Brasilien tätig und verwendet einige sehr robuste Sicherheitsfunktionen, um die Gelder ihrer Kunden zu schützen. PixStealer kann diese Funktionen jedoch umgehen, indem es eine einfache, aber effiziente Methode verwendet, um Gelder von den Konten des Opfers abzuschöpfen.
Begrenzte Funktionen machen PixStealer heimlicher als andere Trojaner
Zunächst einmal kann PixStealer nicht mit einem Remote-Server kommunizieren. Häufig benötigen Android-Trojaner diese Funktionalität, um Daten zu übertragen und weitere Anweisungen zu erhalten. PixStealer funktioniert jedoch im Offline-Modus und benötigt nur die Erlaubnis, den 'Android Accessibility Service' zu verwenden, um zu funktionieren. Das Opfer kann ihm solche Berechtigungen leicht erteilen, da es den Eindruck hat, mit einer legitimen PagBank-App zu interagieren.
Sobald Benutzer die bösartige App öffnen, startet sie Anweisungen und dann die nächsten Schritte unter Verwendung irreführender Aufforderungen. Opfer müssen zuerst die legitime PagBank-App für die "Synchronisierung" öffnen. In diesem Fall protokolliert der Trojaner PixStealer das verfügbare Guthaben des Opfers und speichert es für die spätere Verwendung. Danach wird ein gefälschtes Overlay angezeigt, in dem der Benutzer aufgefordert wird, zu warten, bis die Synchronisierung abgeschlossen ist. Dieser Schritt ist sehr wichtig, da er verhindert, dass der Benutzer sieht, was im Hintergrund passiert. PixStealer interagiert mit der legitimen PagBank-Software, um das Geld des Opfers auf das Konto des Angreifers abzuleiten.
Typischerweise erfordert diese Art der Übertragung mehrere Arten der Überprüfung – 2FA per SMS, Dokumenten-Upload und sogar ein Selfie mit der Kamera. Da die Überweisung jedoch vom echten Gerät des Benutzers aus erfolgt, kann die PagBank solche robusten Überprüfungsmaßnahmen nicht anwenden – sie haben den Eindruck, dass alle Aktivitäten legitim sind. Derzeit funktioniert der PixStealer nur mit der in Brasilien ansässigen PagBank. Es wäre jedoch keine Überraschung, wenn die Entwickler maßgeschneiderte Versionen erstellen, um andere beliebte Android-Banking-Anwendungen zu verfolgen. Schützen Sie sich vor solchen Angriffen, indem Sie seriöse Android-Antivirendienste nutzen.