PixStealer si rivolge ai clienti della brasiliana PagBank

Al giorno d'oggi, il settore bancario è fortemente digitalizzato e questo apre un sacco di nuove opportunità per i criminali informatici. Una regione, in particolare, è pesantemente colpita da trojan bancari di ogni tipo: l'America Latina. Di recente, nella regione è stata rilevata una nuova famiglia di malware. La minaccia, soprannominata PixStealer, è un trojan bancario Android che ha un metodo di attacco molto particolare.

PixStealer sembra essere un progetto molto semplice, ma questo non significa che non sia efficiente in quello che fa. Grazie al mantenimento delle sue funzionalità al minimo indispensabile, i suoi creatori sperano di eludere la maggior parte delle funzionalità di sicurezza di Android. A peggiorare le cose, PixStealer è stato temporaneamente ospitato sul Google Play Store ufficiale, infettando potenzialmente migliaia di utenti in Brasile. Questo particolare malware è stato nascosto sotto l'app PagBank Cashback e, come suggerisce il nome, ha preso di mira gli utenti dell'istituto finanziario PagBank. Questa istituzione opera solo in Brasile e utilizza alcune funzionalità di sicurezza molto robuste per proteggere i fondi dei suoi clienti. Tuttavia, PixStealer può aggirare queste funzionalità utilizzando un metodo semplice ma efficiente per prelevare fondi dai conti della vittima.

Funzionalità limitate rendono PixStealer più furtivo di altri trojan

Per cominciare, PixStealer non ha la capacità di comunicare con un server remoto. Spesso i trojan Android hanno bisogno di questa funzionalità per trasmettere dati e ricevere ulteriori istruzioni. Tuttavia, PixStealer funziona in modalità offline e richiede solo l'autorizzazione per utilizzare il "Servizio di accessibilità Android" per funzionare. La vittima potrebbe facilmente concederle tali autorizzazioni, perché ha l'impressione di interagire con un'app PagBank legittima.

Una volta che gli utenti aprono l'app dannosa, iniziano le istruzioni e poi cosa fare dopo, con l'uso di messaggi fuorvianti. Le vittime devono prima aprire l'app PagBank legittima per la 'sincronizzazione'. Quando ciò accade, il Trojan PixStealer registrerà i fondi disponibili della vittima e li memorizzerà per un uso successivo. Successivamente, mostra un falso overlay, chiedendo all'utente di attendere il completamento della sincronizzazione. Questo passaggio è molto importante, perché impedisce all'utente di vedere cosa sta succedendo in background. PixStealer interagisce con il legittimo software PagBank per trasferire i fondi della vittima sul conto dell'aggressore.

In genere, questo tipo di trasferimento richiede più tipi di verifica: 2FA tramite SMS, caricamento di documenti e persino un selfie con la fotocamera. Tuttavia, poiché il trasferimento avviene dal dispositivo reale dell'utente, PagBank potrebbe non utilizzare misure di verifica così robuste - hanno l'impressione che tutte le attività siano legittime. Attualmente, PixStealer funziona solo con la PagBank con sede in Brasile. Tuttavia, non sarebbe una sorpresa se i suoi creatori creassero versioni su misura per seguire altre popolari applicazioni bancarie Android. Stai al sicuro da tali attacchi utilizzando servizi antivirus Android affidabili.

October 5, 2021
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.