PixStealer richt zich op klanten van de Braziliaanse PagBank

Tegenwoordig is de banksector sterk gedigitaliseerd en dit biedt veel nieuwe kansen voor cybercriminelen. Eén regio in het bijzonder wordt zwaar getroffen door allerlei soorten banktrojanen: Latijns-Amerika. Onlangs is in de regio een nieuwe malwarefamilie gedetecteerd. De dreiging, PixStealer genaamd, is een Android Banking Trojan met een zeer eigenaardige aanvalsmethode.

PixStealer lijkt een heel eenvoudig project te zijn, maar dit betekent niet dat het niet efficiënt is in wat het doet. Dankzij het tot een absoluut minimum beperken van de functies, hopen de makers de meeste beveiligingsfuncties van Android te omzeilen. Om het nog erger te maken, werd de PixStealer tijdelijk gehost in de officiële Google Play Store, waardoor mogelijk duizenden gebruikers in Brazilië werden besmet. Deze specifieke malware was verborgen onder de app PagBank Cashback en was, zoals de naam al doet vermoeden, gericht op gebruikers van de financiële instelling PagBank. Deze instelling is alleen actief in Brazilië en gebruikt een aantal zeer robuuste beveiligingsfuncties om het geld van haar klanten te beschermen. PixStealer kan deze functies echter omzeilen door een eenvoudige maar efficiënte methode te gebruiken om geld van de rekeningen van het slachtoffer te halen.

Beperkte functies maken PixStealer stealthier dan andere trojans

Om te beginnen heeft PixStealer niet de mogelijkheid om te communiceren met een externe server. Vaak hebben Android-trojans deze functionaliteit nodig om gegevens te verzenden en verdere instructies te ontvangen. PixStealer werkt echter in de offline modus en heeft alleen toestemming nodig om de 'Android Accessibility Service' te gebruiken om te kunnen functioneren. Het slachtoffer kan het gemakkelijk dergelijke toestemmingen verlenen, omdat ze de indruk hebben dat ze communiceren met een legitieme PagBank-app.

Zodra gebruikers de schadelijke app openen, begint het instructies wat vervolgens te doen, met behulp van misleidende aanwijzingen. Slachtoffers moeten eerst de legitieme PagBank-app openen voor 'synchronisatie'. Wanneer dit gebeurt, zal de PixStealer Trojan het beschikbare geld van het slachtoffer loggen en opslaan voor later gebruik. Hierna toont het een nep-overlay, waarin de gebruiker wordt gevraagd te wachten tot de synchronisatie is voltooid. Deze stap is erg belangrijk, omdat het voorkomt dat de gebruiker ziet wat er op de achtergrond gebeurt. PixStealer werkt samen met de legitieme PagBank-software om het geld van het slachtoffer over te hevelen naar de rekening van de aanvaller.

Meestal vereist dit type overdracht meerdere soorten verificatie: 2FA via sms, documentupload en zelfs een selfie met de camera. Aangezien de overdracht echter plaatsvindt vanaf het echte apparaat van de gebruiker, mag PagBank dergelijke robuuste verificatiemaatregelen niet gebruiken - ze hebben de indruk dat alle activiteiten legitiem zijn. Momenteel werkt de PixStealer alleen met de in Brazilië gevestigde PagBank. Het zou echter geen verrassing zijn als de makers op maat gemaakte versies maken die passen bij andere populaire Android-bankiertoepassingen. Blijf beschermd tegen dergelijke aanvallen door gebruik te maken van gerenommeerde Android-antivirusservices.