Το PixStealer στοχεύει τους πελάτες της βραζιλιάνικης PagBank

Σήμερα, ο τραπεζικός κλάδος είναι πολύ ψηφιοποιημένος και αυτό ανοίγει πολλές νέες ευκαιρίες για τους εγκληματίες στον κυβερνοχώρο. Μια περιοχή, ιδίως, πλήττεται σε μεγάλο βαθμό από τραπεζικούς Τρώες κάθε είδους - τη Λατινική Αμερική. Πρόσφατα, εντοπίστηκε μια νέα οικογένεια κακόβουλων προγραμμάτων στην περιοχή. Η απειλή, που ονομάστηκε PixStealer, είναι ένα Android Banking Trojan που έχει μια πολύ περίεργη μέθοδο επίθεσης.

Το PixStealer φαίνεται να είναι ένα πολύ απλό έργο, αλλά αυτό δεν σημαίνει ότι δεν είναι αποτελεσματικό σε αυτό που κάνει. Χάρη στη διατήρηση των δυνατοτήτων του στο ελάχιστο, οι δημιουργοί του ελπίζουν να αποφύγουν τις περισσότερες από τις δυνατότητες ασφαλείας του Android. Για να γίνουν ακόμη χειρότερα, το PixStealer φιλοξενήθηκε προσωρινά στο επίσημο Google Play Store, μολύνοντας δυνητικά χιλιάδες χρήστες στη Βραζιλία. Το συγκεκριμένο κακόβουλο λογισμικό ήταν κρυμμένο κάτω από την εφαρμογή PagBank Cashback και, όπως υποδηλώνει το όνομα, στόχευε χρήστες του χρηματοπιστωτικού ιδρύματος PagBank. Αυτό το ίδρυμα λειτουργεί μόνο στη Βραζιλία και χρησιμοποιεί ορισμένα πολύ ισχυρά χαρακτηριστικά ασφαλείας για την προστασία των κεφαλαίων των πελατών του. Ωστόσο, το PixStealer μπορεί να ξεπεράσει αυτές τις δυνατότητες χρησιμοποιώντας μια απλή αλλά αποτελεσματική μέθοδο για να απορροφήσει χρήματα από τους λογαριασμούς του θύματος.

Περιορισμένες δυνατότητες Κάντε το PixStealer πιο κρυφό από άλλους Τρώες

Για αρχή, το PixStealer δεν έχει τη δυνατότητα να επικοινωνεί με απομακρυσμένο διακομιστή. Συχνά, οι Android Trojans χρειάζονται αυτήν τη λειτουργικότητα για τη μετάδοση δεδομένων και τη λήψη περαιτέρω οδηγιών. Ωστόσο, το PixStealer λειτουργεί σε λειτουργία εκτός σύνδεσης και χρειάζεται μόνο άδεια για να χρησιμοποιήσει την "Υπηρεσία προσβασιμότητας Android" για να λειτουργήσει. Το θύμα μπορεί εύκολα να του δώσει τέτοια δικαιώματα, επειδή έχει την εντύπωση ότι αλληλεπιδρά με μια νόμιμη εφαρμογή PagBank.

Μόλις οι χρήστες ανοίξουν την κακόβουλη εφαρμογή, ξεκινά οδηγίες και μετά τι να κάνει στη συνέχεια, με τη χρήση παραπλανητικών προτροπών. Τα θύματα πρέπει πρώτα να ανοίξουν τη νόμιμη εφαρμογή PagBank για «συγχρονισμό». Όταν συμβεί αυτό, το PixStealer Trojan θα καταγράψει τα διαθέσιμα κεφάλαια του θύματος και θα τα αποθηκεύσει για μελλοντική χρήση. Μετά από αυτό, εμφανίζει μια ψεύτικη επικάλυψη, ζητώντας από τον χρήστη να περιμένει μέχρι να ολοκληρωθεί ο συγχρονισμός. Αυτό το βήμα είναι πολύ σημαντικό, επειδή εμποδίζει τον χρήστη να δει τι συμβαίνει στο παρασκήνιο. Το PixStealer αλληλεπιδρά με το νόμιμο λογισμικό PagBank για να μεταφέρει τα χρήματα του θύματος στον λογαριασμό του εισβολέα.

Συνήθως, αυτός ο τύπος μεταφοράς απαιτεί πολλαπλούς τύπους επαλήθευσης - 2FA μέσω SMS, μεταφόρτωση εγγράφων, ακόμη και selfie με την κάμερα. Ωστόσο, δεδομένου ότι η μεταφορά πραγματοποιείται από την πραγματική συσκευή του χρήστη, η PagBank ενδέχεται να μην χρησιμοποιεί τέτοια ισχυρά μέτρα επαλήθευσης - έχουν την εντύπωση ότι όλες οι δραστηριότητες είναι νόμιμες. Προς το παρόν, το PixStealer συνεργάζεται μόνο με το PagBank με έδρα τη Βραζιλία. Ωστόσο, δεν θα ήταν έκπληξη αν οι δημιουργοί του δημιουργούσαν προσαρμοσμένες εκδόσεις για να ακολουθήσουν άλλες δημοφιλείς εφαρμογές τραπεζικού Android. Μείνετε ασφαλείς από τέτοιες επιθέσεις χρησιμοποιώντας αξιόπιστες υπηρεσίες προστασίας από ιούς Android.