PixStealer 瞄准巴西 PagBank 的客户

如今，银行业高度数字化，这为网络犯罪分子提供了大量新机会。一个地区尤其受到各种银行木马的严重影响——拉丁美洲。最近，在该地区检测到一个新的恶意软件家族。该威胁被称为 PixStealer，是一种 Android 银行木马，具有非常奇特的攻击方法。

PixStealer 看起来是一个非常简单的项目，但这并不意味着它的工作效率不高。由于将其功能保持在最低限度，其创建者希望规避 Android 的大部分安全功能。更糟糕的是，PixStealer 暂时托管在官方 Google Play 商店中，可能会感染巴西的数千名用户。这种特殊的恶意软件隐藏在应用程序 PagBank Cashback 下，顾名思义，它针对的是 PagBank 金融机构的用户。该机构仅在巴西运营，并使用一些非常强大的安全功能来保护其客户的资金。但是，PixStealer 可能会通过使用一种简单而有效的方法从受害者的帐户中提取资金来绕过这些功能。

有限的功能使 PixStealer 比其他木马更隐蔽

首先，PixStealer 没有与远程服务器通信的能力。通常，Android 木马需要此功能才能传输数据和接收进一步的指令。但是，PixStealer 在离线模式下工作，它只需要获得使用“Android 无障碍服务”的权限即可运行。受害者可能很容易授予它这样的权限，因为他们认为他们正在与合法的 PagBank 应用程序进行交互。

一旦用户打开恶意应用程序，它就会使用误导性提示启动说明然后下一步做什么。受害者必须首先打开合法的 PagBank 应用程序进行“同步”。发生这种情况时，PixStealer 木马会记录受害者的可用资金并将其存储以备后用。在此之后，它会显示一个虚假的叠加层，要求用户等待同步完成。这一步非常重要，因为它可以防止用户看到后台发生的事情。 PixStealer 与合法的 PagBank 软件交互，将受害者的资金转移到攻击者的账户。

通常，这种类型的传输需要多种类型的验证——通过短信进行 2FA、文档上传，甚至是使用相机自拍。然而，由于转移发生在用户的真实设备上，PagBank 可能不会使用这种强大的验证措施——他们认为所有活动都是合法的。目前，PixStealer 仅适用于巴西的 PagBank。但是，如果它的创建者创建定制版本来追随其他流行的 Android 银行应用程序，也就不足为奇了。通过使用信誉良好的 Android 防病毒服务来避免此类攻击。