Hackers visando o sistema de pagamento PIX do Brasil para drenar contas bancárias de usuários

“Os atacantes distribuíram duas variantes diferentes de malware bancário, chamados PixStealer e MalRhino , por meio de dois aplicativos maliciosos separados […] para realizar seus ataques”, disse a Check Point Research em uma análise compartilhada com o The Hacker News. “Ambos os aplicativos maliciosos foram projetados para roubar dinheiro das vítimas por meio da interação do usuário e do aplicativo PIX original.”

Os dois aplicativos em questão, descobertos em abril de 2021, foram removidos da loja de aplicativos.

Lançado em novembro de 2020 pelo Banco Central do Brasil, autoridade monetária do país, o Pix é uma plataforma de pagamentos estatal que permite a consumidores e empresas realizar transferências de dinheiro de suas contas bancárias sem a necessidade de cartões de débito ou crédito.

PixStealer, que foi encontrado distribuído no Google Play como um falso aplicativo de serviço PagBank Cashback, foi projetado para esvaziar os fundos da vítima em uma conta controlada por um ator, enquanto o MalRhino – disfarçado de aplicativo de token móvel para o Interbancário do Brasil – vem com recursos avançados necessários para coletar a lista de aplicativos instalados e recuperar o PIN de bancos específicos.

“Quando um usuário abre seu aplicativo de banco PIX, o Pixstealer mostra à vítima uma janela sobreposta, onde o usuário não pode ver os movimentos do invasor”, disseram os pesquisadores. “Atrás da janela de sobreposição, o invasor recupera a quantidade de dinheiro disponível e transfere o dinheiro, geralmente o saldo inteiro da conta, para outra conta.”

O que une PixStealer e MalRhino é que ambos os aplicativos abusam do serviço de acessibilidade do Android para realizar ações maliciosas nos dispositivos comprometidos, tornando-os a mais recente adição a uma longa lista de malware móvel que aproveita a permissão para perpetrar roubo de dados.

Especificamente, a sobreposição falsa vem com uma mensagem “Sincronizando seu acesso … Não desligue a tela do seu celular” quando, na realidade, o malware procura o botão “Transferir” para realizar a transferência usando uma série de APIs de acessibilidade.

A variante MalRhino também se destaca pelo uso da estrutura Rhino JS baseada em Java da Mozilla para executar comandos JavaScript dentro de aplicativos bancários direcionados, mas não antes de convencer o usuário a ativar os serviços de acessibilidade.

“Esta técnica não é comumente usada em malware móvel e mostra como os agentes maliciosos estão inovando para evitar a detecção e entrar no Google Play”, disseram os pesquisadores. “Com o crescente abuso do Serviço de Acessibilidade por malware de mobile banking, os usuários devem ser cautelosos ao habilitar as permissões relevantes mesmo em aplicativos distribuídos por lojas de aplicativos conhecidas, como o Google Play.”

Fonte: https://thehackernews.com/