Hackers estão visando o sistema de pagamento PIX do Brasil para hackear contas bancárias de usuários

Dois aplicativos Android maliciosos, recentemente descobertos na Google Play Store, têm sido usados ​​para visar os usuários do ecossistema de pagamentos instantâneos do Brasil em uma tentativa de transferir fraudulentamente os saldos inteiros das contas das vítimas para outra conta bancária sob o controle de criminosos cibernéticos.

“Os atacantes distribuíram dois tipos diferentes de malware bancário PixStealer E Malrino, Por dois aplicativos maliciosos separados […] Para realizar seus ataques, ” Ponto de verificação A pesquisa disse em uma análise compartilhada com The Hacker News. “Ambos os aplicativos maliciosos são projetados para roubar o dinheiro das vítimas por meio da interação do usuário e do aplicativo PIX original.”

Os dois aplicativos em questão foram descobertos em abril de 2021 e posteriormente removidos da App Store.

Lançado em novembro de 2020 pelo Banco Central do Brasil, autoridade monetária do país. Pix É uma plataforma de pagamento do governo que permite que consumidores e empresas transfiram dinheiro de suas contas bancárias sem a necessidade de cartões de débito ou crédito.

Descobriu-se que o PixStealer foi distribuído como um falso serviço de backbank backbank no Google Play, projetado para esvaziar os fundos da vítima em uma conta controlada pelo elenco, enquanto o Malrino-Brasil vem como um processador de token móvel para o Interbank com uma lista de aplicativos instalados para aplicativos avançados aplicativos recuperados que requerem aplicativos.

“Quando um usuário abre seu aplicativo bancário PIX, o Pixtealer mostra à vítima uma janela sobreposta onde o usuário não pode ver os movimentos do invasor”, disseram os pesquisadores. “Atrás da janela de sobreposição, o invasor recupera o dinheiro disponível e transfere o dinheiro, geralmente o saldo inteiro da conta, para outra conta.”

O que une PixStealer e MalRhino é que ambos os processadores estão abusando do serviço de acesso do Android para realizar ações maliciosas em dispositivos comprometidos, que é a lista mais recente de um malware móvel de longo prazo que usa permissão de roubo de dados.

Em particular, a mensagem de pseudo-sobreposição “Sincroniza seu acesso … Não desligue a tela do seu celular”, na verdade, busca o botão “Trocar” para transferir usando APIs de acesso contínuo de malware.

A variante Malrino se destaca pelo aplicativo baseado em Java da Mozilla Estrutura do Rhinoceros JS Execute comandos JavaScript em aplicativos bancários direcionados, mas não antes de convencer o usuário a executar serviços de acesso.

“Esta técnica não é comumente usada em malware móvel e mostra como os atores inovadores são inovadores para evitar a detecção e entrar no Google Play”, disseram os pesquisadores. “Como o abuso do serviço de acesso por malware de mobile banking está aumentando, os usuários devem ser cautelosos ao permitir permissões relevantes, mesmo em aplicativos distribuídos por lojas de aplicativos conhecidas, como o Google Play.”