PixStealer tem como alvo clientes do PagBank brasileiro

Hoje em dia, o setor bancário está fortemente digitalizado e isso abre muitas novas oportunidades para os cibercriminosos. Uma região, em particular, é fortemente afetada por cavalos de Tróia bancários de todos os tipos - a América Latina. Recentemente, uma nova família de malware foi detectada na região. A ameaça, apelidada de PixStealer, é um cavalo de Troia Android Banking que possui um método de ataque muito peculiar.

PixStealer parece ser um projeto muito simples, mas isso não significa que não seja eficiente no que faz. Graças a manter seus recursos no mínimo, seus criadores esperam escapar da maioria dos recursos de segurança do Android. Para piorar ainda mais a situação, o PixStealer foi temporariamente hospedado na Google Play Store oficial, potencialmente infectando milhares de usuários no Brasil. Este malware em particular estava escondido sob o aplicativo PagBank Cashback e, como o nome sugere, tinha como alvo os usuários da instituição financeira PagBank. Essa instituição opera apenas no Brasil e usa alguns recursos de segurança muito robustos para proteger os fundos de seus clientes. No entanto, o PixStealer pode contornar esses recursos usando um método simples, mas eficiente, para desviar fundos das contas da vítima.

Recursos limitados tornam o PixStealer mais furtivo do que outros cavalos de Tróia

Para começar, o PixStealer não tem a capacidade de se comunicar com um servidor remoto. Freqüentemente, os cavalos de Tróia Android precisam dessa funcionalidade para transmitir dados e receber instruções adicionais. No entanto, PixStealer funciona no modo offline e só precisa de permissão para usar o 'Serviço de acessibilidade do Android' para funcionar. A vítima pode facilmente conceder-lhe tais permissões, porque tem a impressão de que está interagindo com um aplicativo PagBank legítimo.

Depois que os usuários abrem o aplicativo malicioso, ele inicia as instruções e o que fazer a seguir, com o uso de prompts enganosos. As vítimas devem primeiro abrir o aplicativo PagBank legítimo para 'sincronização'. Quando isso acontece, o cavalo de Troia PixStealer registra os fundos disponíveis da vítima e os armazena para uso posterior. Depois disso, ele mostra uma sobreposição falsa, pedindo ao usuário para esperar até que a sincronização seja concluída. Esta etapa é muito importante, pois evita que o usuário veja o que está acontecendo em segundo plano. PixStealer interage com o software PagBank legítimo para desviar os fundos da vítima para a conta do invasor.

Normalmente, esse tipo de transferência requer vários tipos de verificação - 2FA via SMS, upload de documentos e até mesmo uma selfie com a câmera. No entanto, uma vez que a transferência acontece a partir do dispositivo real do usuário, o PagBank não pode usar tais medidas de verificação robustas - eles têm a impressão de que todas as atividades são legítimas. Atualmente, o PixStealer só funciona com o PagBank, com sede no Brasil. No entanto, não seria uma surpresa se seus criadores criassem versões personalizadas para ir atrás de outros aplicativos bancários Android populares. Fique protegido contra esses ataques, utilizando serviços antivírus Android de boa reputação.