PixStealer atakuje klientów brazylijskiego PagBank

Obecnie branża bankowa jest mocno zdigitalizowana, co otwiera przed cyberprzestępcami mnóstwo nowych możliwości. W szczególności jeden region jest silnie dotknięty wszelkiego rodzaju trojanami bankowymi – Ameryka Łacińska. Niedawno w regionie wykryto nową rodzinę złośliwego oprogramowania. Zagrożenie, nazwane PixStealer, to trojan bankowy dla Androida, który ma bardzo osobliwą metodę ataku.

PixStealer wydaje się być bardzo prostym projektem, ale nie oznacza to, że nie jest wydajny w tym, co robi. Dzięki utrzymywaniu jego funkcji do absolutnego minimum, jego twórcy mają nadzieję ominąć większość funkcji bezpieczeństwa Androida. Co gorsza, PixStealer był tymczasowo hostowany w oficjalnym sklepie Google Play, potencjalnie infekując tysiące użytkowników w Brazylii. To konkretne szkodliwe oprogramowanie zostało ukryte pod aplikacją PagBank Cashback i, jak sama nazwa wskazuje, atakowało użytkowników instytucji finansowej PagBank. Ta instytucja działa tylko w Brazylii i wykorzystuje bardzo solidne zabezpieczenia w celu ochrony środków swoich klientów. Jednak PixStealer może obejść te funkcje, używając prostej, ale skutecznej metody wyprowadzania środków z kont ofiary.

Ograniczone funkcje sprawiają, że PixStealer jest bardziej ukryty niż inne trojany

Na początek PixStealer nie ma możliwości komunikacji ze zdalnym serwerem. Często trojany dla Androida potrzebują tej funkcjonalności, aby przesyłać dane i otrzymywać dalsze instrukcje. Jednak PixStealer działa w trybie offline i potrzebuje jedynie pozwolenia na korzystanie z „Usługi ułatwień dostępu Androida”, aby działać. Ofiara może łatwo przyznać jej takie uprawnienia, ponieważ ma wrażenie, że wchodzi w interakcję z legalną aplikacją PagBank.

Gdy użytkownicy otworzą złośliwą aplikację, uruchamia ona instrukcje, a następnie, co dalej, z wykorzystaniem wprowadzających w błąd podpowiedzi. Ofiary muszą najpierw otworzyć legalną aplikację PagBank w celu „synchronizacji”. Gdy tak się stanie, trojan PixStealer będzie rejestrować dostępne środki ofiary i przechowywać je do późniejszego wykorzystania. Następnie wyświetla fałszywą nakładkę, prosząc użytkownika, aby poczekał na zakończenie synchronizacji. Ten krok jest bardzo ważny, ponieważ uniemożliwia użytkownikowi zobaczenie, co dzieje się w tle. PixStealer wchodzi w interakcję z legalnym oprogramowaniem PagBank, aby wyprowadzić fundusze ofiary na konto atakującego.

Zazwyczaj ten rodzaj transferu wymaga wielu rodzajów weryfikacji – 2FA przez SMS, wgranie dokumentów, a nawet selfie z aparatem. Ponieważ jednak transfer odbywa się z prawdziwego urządzenia użytkownika, PagBank może nie stosować tak solidnych środków weryfikacyjnych – mają wrażenie, że wszelka aktywność jest legalna. Obecnie PixStealer działa tylko z PagBankiem z siedzibą w Brazylii. Nie byłoby jednak niespodzianką, gdyby jego twórcy stworzyli wersje dostosowane do innych popularnych aplikacji bankowych na Androida. Chroń się przed takimi atakami, korzystając z renomowanych usług antywirusowych dla systemu Android.