A Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software Technologies, relatou uma nova modalidade de ataques cibernéticos contra os usuários do Pix. Os ataques são promovidos através dos malwares bancários PixStealer e MalRhino, injetados em dois aplicativos maliciosos distribuídos pela Play Store, loja de apps do Android.
Segundo a companhia, ambos os aplicativos maliciosos foram projetados para roubar dinheiro das vítimas por meio da interação do usuário e do aplicativo bancário para transferência de valores via Pix. Os aplicativos já foram removidos da loja Play Store.
A CPR afirmou que os aplicativos maliciosos podem ser considerados uma evolução de uma conhecida família de malware bancário brasileiro, que já foram distribuídos na Google Play Store no passado.
Os pesquisadores de segurança analisaram os aplicativos maliciosos em abril de 2021 e encontraram uma extensão para novas técnicas e recursos.
Uma das versões encontradas de malware, apelidada de PixStealer, contém uma funcionalidade nunca antes vista que permite roubar o dinheiro das vítimas usando transações Pix. Nesta variante, os atacantes projetaram o PixStealer com apenas um recurso: transferir os fundos da vítima para uma conta controlada pelo atacante.
A variante tem a capacidade de operar sem conexão com um servidor de comando e controle (C&C), o que permite que passe despercebido. No ataque descoberto, o PixStealer estava sendo distribuído na Google Play Store como um falso serviço PagBank Cashback, visando apenas o PagBank brasileiro.
Quando um usuário abre seu aplicativo de banco para acessar o Pix, o PixStealer mostra à vítima uma janela de sobreposição, na qual o usuário não pode ver os movimentos do atacante. Atrás da janela de sobreposição, o atacante recupera a quantidade de dinheiro disponível e o transfere, geralmente o saldo inteiro daquela conta para uma outra conta.
A CPR também identificou uma variante de malware bancário mais avançada, capaz de sequestrar todo o aplicativo móvel com PIX e outros aplicativos bancários. Chamada de MalRhino, essa variante surgiu em um aplicativo falso do iToken para o Banco Inter brasileiro e que também era distribuído pela Play Store.
O MalRhino exibe uma mensagem para sua vítima tentando convencê-la a conceder permissão de acessibilidade. Uma vez concedida, o MalRhino poderia coletar o aplicativo instalado e enviar a lista para o servidor C&C com as informações do dispositivo da vítima; executar aplicativos de bancos e até recuperar o pin do aplicativo Nubank.
“Vivemos em uma época em que os cibercriminosos não precisam invadir um banco para roubar dinheiro. Tudo o que um cibercriminoso precisa fazer é entender as plataformas que os bancos usam e suas respectivas armadilhas. Há uma tendência crescente em que eles estão perseguindo os aplicativos de bancos institucionais”, comenta Lotem Finkelsteen, líder de Inteligência de Ameaças da Check Point Software Technologies.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…