PixStealerはブラジルのPagBankの顧客をターゲットにしています

今日、銀行業界は高度にデジタル化されており、これによりサイバー犯罪者に多くの新しい機会が開かれています。特に、ラテンアメリカという1つの地域は、あらゆる種類のバンキング型トロイの木馬の影響を大きく受けています。最近、この地域で新しいマルウェアファミリーが検出されました。 PixStealerと呼ばれるこの脅威は、非常に特殊な攻撃方法を持つAndroidバンキング型トロイの木馬です。

PixStealerは非常に単純なプロジェクトのように見えますが、これは、PixStealerの機能が効率的でないことを意味するものではありません。その機能を最小限に抑えることで、その作成者はAndroidのセキュリティ機能の大部分を回避したいと考えています。さらに悪いことに、PixStealerは公式のGoogle Playストアで一時的にホストされ、ブラジルの何千人ものユーザーに感染する可能性がありました。この特定のマルウェアは、アプリPagBank Cashbackの下に隠されており、その名前が示すように、PagBank金融機関のユーザーを標的にしました。この機関はブラジルでのみ運営されており、顧客の資金を保護するためにいくつかの非常に堅牢なセキュリティ機能を使用しています。ただし、PixStealerは、被害者のアカウントから資金を吸い上げるためのシンプルで効率的な方法を使用して、これらの機能を回避する場合があります。

限られた機能により、PixStealerは他のトロイの木馬よりもステルスになります

手始めに、PixStealerにはリモートサーバーと通信する機能がありません。多くの場合、Androidトロイの木馬は、データを送信し、さらに指示を受け取るためにこの機能を必要とします。ただし、PixStealerはオフラインモードで動作し、機能するために必要なのは「Androidアクセシビリティサービス」を使用するための許可のみです。被害者は、正当なPagBankアプリを操作しているという印象を受けているため、そのような権限を簡単に付与する可能性があります。

ユーザーが悪意のあるアプリを開くと、誤解を招くプロンプトを使用して、指示を開始し、次に何をするかを開始します。被害者はまず、「同期」のために正当なPagBankアプリを開く必要があります。これが発生すると、PixStealerトロイの木馬は被害者の利用可能な資金をログに記録し、後で使用できるように保存します。この後、偽のオーバーレイが表示され、同期が完了するまでユーザーに待機するように求められます。この手順は、ユーザーがバックグラウンドで何が起こっているかを確認できないため、非常に重要です。 PixStealerは、正当なPagBankソフトウェアと対話して、被害者の資金を攻撃者のアカウントに吸い上げます。

通常、このタイプの転送には、SMSを介した2FA、ドキュメントのアップロード、さらにはカメラを使用したセルフィーなど、複数のタイプの検証が必要です。ただし、転送はユーザーの実際のデバイスから行われるため、PagBankはそのような堅牢な検証手段を使用しない場合があります。すべてのアクティビティが正当であるという印象を受けます。現在、PixStealerはブラジルを拠点とするPagBankでのみ機能します。ただし、その作成者が他の人気のあるAndroidバンキングアプリケーションを追いかけるように調整されたバージョンを作成しても、驚くことではありません。評判の良いAndroidウイルス対策サービスを利用して、このような攻撃から安全を確保してください。