Dois aplicativos de Android maliciosos recém-descobertos na loja do Google Play têm sido usados para atingir os usuários do ecossistema de pagamento instantâneo do Brasil, em uma tentativa provável de atrair vítimas em transferência fraudulentamente seus saldos de conta em outra conta bancária sob controle do cibercriminais.
“Os invasores distribuíram duas variantes diferentes de malware bancário, nomeadas Pixstealer e Malrhino, através de duas aplicações maliciosas separadas […] para realizar seus ataques”, disse os pesquisadores. “Ambas as aplicações maliciosas foram projetadas para roubar dinheiro de vítimas através da interação do usuário e o aplicativo Pix original”.
Os dois aplicativos em questão, que foram descobertos em 2021 de abril, desde então foram removidos da App Store.
Lançado em novembro de 2020 pelo Banco Central do Brasil, a autoridade monetária do país, a PIX é uma plataforma de pagamentos estatais que permite que os consumidores e empresas façam transferências de dinheiro de suas contas bancárias sem exigir cartões de débito ou crédito.
Pixstealer, que foi encontrado distribuído no Google Play como um falso aplicativo de serviço de cashback pagbank, é projetado para esvaziar os fundos de uma vítima para uma conta controlada por ator, enquanto Malrhino, masquerading como um aplicativo de token móvel para o banco do Brasil vem com recursos avançados necessários Para coletar a lista de aplicativos instalados e recuperar o PIN para bancos específicos.
“Quando um usuário abre o aplicativo Pix Bank, Pixstealer mostra a vítima uma janela de sobreposição, onde o usuário não consegue ver os movimentos do atacante”, disseram os pesquisadores. “Por trás da janela de sobreposição, o atacante recupera a quantia disponível de dinheiro e transfere o dinheiro, muitas vezes todo o saldo da conta, para outra conta”.
O que une PixStealer e MalRhino é que ambos os aplicativos abusar serviço de acessibilidade do Android para realizar ações maliciosas nos dispositivos comprometidos, tornando-a mais recente adição a uma longa lista de malware móvel que utiliza a permissão para roubo de dados perpetrar.
Especificamente, a falsa sobreposição seqüestra a tela inteira para exibir uma mensagem “Sincronizando seu acesso … Não desligue a tela móvel” Quando, no fundo, o malware procura pelo botão “Transferência” para executar a transação com a Ajuda de APIs de acessibilidade.
A variante MalRhino também se destaca por seu uso da estrutura Rhino JS baseada em Java da Mozilla para executar JavaScript comandos dentro alvejado aplicações bancárias, mas não antes de convencer o usuário a ativar os serviços de acessibilidade.
“Esta técnica não é comumente usada em malware móvel e mostra como os atores maliciosos estão inovadores para evitar a detecção e entrar no Google Play”, disseram os pesquisadores. “Com o abuso crescente do serviço de acessibilidade pelo Mobile Banking Malware, os usuários devem ser cautelosos de ativar as permissões relevantes, mesmo nos aplicativos distribuídos por meio de lojas de aplicativos conhecidas, como o Google Play.”
REFERÊNCIAS:
https://thehackernews.com/2021/09/hackers-targeting-brazils-pix-payment.html
https://thehackernews.com/2021/04/brata-malware-poses-as-android-security.html