PixStealer нацелен на клиентов бразильского PagBank

В настоящее время банковская отрасль в значительной степени цифровизирована, и это открывает множество новых возможностей для киберпреступников. В частности, один регион сильно поражен разного рода банковскими троянами - Латинская Америка. Недавно в регионе было обнаружено новое семейство вредоносных программ. Угроза, получившая название PixStealer, представляет собой банковский троян для Android, использующий весьма своеобразный метод атаки.

PixStealer кажется очень простым проектом, но это не значит, что он неэффективен в своей работе. Благодаря тому, что его функции сведены к минимуму, его создатели надеются обойти большинство функций безопасности Android. Что еще хуже, PixStealer временно размещался в официальном магазине Google Play, потенциально заразив тысячи пользователей в Бразилии. Эта конкретная вредоносная программа была скрыта под приложением PagBank Cashback и, как следует из названия, предназначалась для пользователей финансового учреждения PagBank. Это учреждение работает только в Бразилии и использует некоторые очень надежные функции безопасности для защиты средств своих клиентов. Однако PixStealer может обойти эти функции, используя простой, но эффективный метод выкачивания средств со счетов жертвы.

Ограниченные возможности делают PixStealer более незаметным, чем другие трояны

Во-первых, у PixStealer нет возможности связываться с удаленным сервером. Часто трояны Android нуждаются в этой функции для передачи данных и получения дальнейших инструкций. Однако PixStealer работает в автономном режиме, и для работы ему требуется только разрешение на использование «Android Accessibility Service». Жертва может легко предоставить ей такие разрешения, потому что у нее сложится впечатление, что она взаимодействует с законным приложением PagBank.

Когда пользователи открывают вредоносное приложение, оно запускает инструкции, а затем, что делать дальше, с использованием вводящих в заблуждение запросов. Жертвы должны сначала открыть законное приложение PagBank для «синхронизации». Когда это происходит, троянец PixStealer регистрирует доступные средства жертвы и сохраняет их для дальнейшего использования. После этого он показывает фальшивый оверлей, предлагающий пользователю дождаться завершения синхронизации. Этот шаг очень важен, потому что он не позволяет пользователю видеть, что происходит в фоновом режиме. PixStealer взаимодействует с законным программным обеспечением PagBank, чтобы вывести средства жертвы на счет злоумышленника.

Как правило, этот тип передачи требует нескольких типов проверки - двухфакторной аутентификации с помощью SMS, загрузки документов и даже селфи с камерой. Однако, поскольку передача происходит с реального устройства пользователя, PagBank не может использовать такие надежные меры проверки - у них создается впечатление, что вся деятельность является законной. В настоящее время PixStealer работает только с базирующимся в Бразилии PagBank. Однако неудивительно, если его создатели создадут специализированные версии, которые будут идти вслед за другими популярными банковскими приложениями для Android. Защититесь от таких атак, используя надежные антивирусные службы Android.