PixStealer 瞄準巴西 PagBank 的客戶

如今，銀行業高度數字化，這為網絡犯罪分子提供了大量新機會。一個地區尤其受到各種銀行木馬的嚴重影響——拉丁美洲。最近，在該地區檢測到一個新的惡意軟件家族。該威脅被稱為 PixStealer，是一種 Android 銀行木馬，具有非常奇特的攻擊方法。

PixStealer 看起來是一個非常簡單的項目，但這並不意味著它的工作效率不高。由於將其功能保持在最低限度，其創建者希望規避 Android 的大部分安全功能。更糟糕的是，PixStealer 暫時託管在官方 Google Play 商店中，可能會感染巴西的數千名用戶。這種特殊的惡意軟件隱藏在應用程序 PagBank Cashback 下，顧名思義，它針對的是 PagBank 金融機構的用戶。該機構僅在巴西運營，並使用一些非常強大的安全功能來保護其客戶的資金。但是，PixStealer 可能會通過使用一種簡單而有效的方法從受害者的帳戶中提取資金來繞過這些功能。

有限的功能使 PixStealer 比其他木馬更隱蔽

首先，PixStealer 沒有與遠程服務器通信的能力。通常，Android 木馬需要此功能才能傳輸數據和接收進一步的指令。但是，PixStealer 在離線模式下工作，它只需要獲得使用“Android 無障礙服務”的權限即可運行。受害者可能很容易授予它這樣的權限，因為他們認為他們正在與合法的 PagBank 應用程序進行交互。

一旦用戶打開惡意應用程序，它就會使用誤導性提示啟動說明然後下一步做什麼。受害者必須首先打開合法的 PagBank 應用程序進行“同步”。發生這種情況時，PixStealer 木馬會記錄受害者的可用資金並將其存儲以備後用。在此之後，它會顯示一個虛假的疊加層，要求用戶等待同步完成。這一步非常重要，因為它可以防止用戶看到後台發生的事情。 PixStealer 與合法的 PagBank 軟件交互，將受害者的資金轉移到攻擊者的賬戶。

通常，這種類型的傳輸需要多種類型的驗證——通過短信進行 2FA、文檔上傳，甚至是使用相機自拍。然而，由於轉移發生在用戶的真實設備上，PagBank 可能不會使用這種強大的驗證措施——他們認為所有活動都是合法的。目前，PixStealer 僅適用於巴西的 PagBank。但是，如果它的創建者創建定製版本來追隨其他流行的 Android 銀行應用程序，也就不足為奇了。通過使用信譽良好的 Android 防病毒服務來避免此類攻擊。