PixStealer cible les clients de la PagBank brésilienne

De nos jours, le secteur bancaire est fortement numérisé, ce qui ouvre de nombreuses nouvelles opportunités pour les cybercriminels. Une région, en particulier, est fortement touchée par les chevaux de Troie bancaires de toutes sortes : l'Amérique latine. Récemment, une nouvelle famille de logiciels malveillants a été détectée dans la région. La menace, surnommée PixStealer, est un cheval de Troie bancaire Android doté d'une méthode d'attaque très particulière.

PixStealer semble être un projet très simple, mais cela ne signifie pas qu'il n'est pas efficace dans ce qu'il fait. Grâce à la réduction de ses fonctionnalités au strict minimum, ses créateurs espèrent échapper à la majorité des fonctionnalités de sécurité d'Android. Pour aggraver les choses, le PixStealer a été temporairement hébergé sur le Google Play Store officiel, infectant potentiellement des milliers d'utilisateurs au Brésil. Ce malware particulier était caché sous l'application PagBank Cashback et, comme son nom l'indique, il ciblait les utilisateurs de l'institution financière PagBank. Cette institution n'opère qu'au Brésil et utilise des fonctions de sécurité très robustes pour protéger les fonds de ses clients. Cependant, PixStealer peut contourner ces fonctionnalités en utilisant une méthode simple mais efficace pour siphonner des fonds des comptes de la victime.

Des fonctionnalités limitées rendent PixStealer plus furtif que les autres chevaux de Troie

Pour commencer, PixStealer n'a pas la possibilité de communiquer avec un serveur distant. Souvent, les chevaux de Troie Android ont besoin de cette fonctionnalité pour transmettre des données et recevoir des instructions supplémentaires. Cependant, PixStealer fonctionne en mode hors ligne et n'a besoin que d'une autorisation pour utiliser le « service d'accessibilité Android » pour fonctionner. La victime peut facilement lui accorder de telles autorisations, car elle a l'impression d'interagir avec une application PagBank légitime.

Une fois que les utilisateurs ouvrent l'application malveillante, celle-ci lance les instructions, puis la marche à suivre, avec l'utilisation d'invites trompeuses. Les victimes doivent d'abord ouvrir l'application légitime PagBank pour la « synchronisation ». Lorsque cela se produit, le cheval de Troie PixStealer enregistre les fonds disponibles de la victime et les stocke pour une utilisation ultérieure. Après cela, il affiche une fausse superposition, demandant à l'utilisateur d'attendre la fin de la synchronisation. Cette étape est très importante, car elle empêche l'utilisateur de voir ce qui se passe en arrière-plan. PixStealer interagit avec le logiciel légitime PagBank pour siphonner les fonds de la victime sur le compte de l'attaquant.

En règle générale, ce type de transfert nécessite plusieurs types de vérification : 2FA via SMS, le téléchargement de documents et même un selfie avec l'appareil photo. Cependant, étant donné que le transfert se produit à partir de l'appareil réel de l'utilisateur, PagBank peut ne pas utiliser des mesures de vérification aussi robustes - ils ont l'impression que toute activité est légitime. Actuellement, le PixStealer ne fonctionne qu'avec la PagBank basée au Brésil. Cependant, il ne serait pas surprenant que ses créateurs créent des versions sur mesure pour s'attaquer à d'autres applications bancaires Android populaires. Restez à l'abri de telles attaques en utilisant des services antivirus Android réputés.