Η Check Point Research (CPR) εντόπισε
κυβερνοεπιθέσεις εναντίον των χρηστών του PIX,
της λύσης άμεσων πληρωμών που δημιούργησε και
διαχειρίζεται η Κεντρική Τράπεζα της Βραζιλίας.
Οι επιτιθέμενοι
διένειμαν δύο
διαφορετικές παραλλαγές
τραπεζικού κακόβουλου
λογισμικού, τα
PixStealer και MalRhino,
μέσω δύο διαφορετικών
κακόβουλων εφαρμογών στο
Play Store της Google
για να πραγματοποιήσουν
τις επιθέσεις τους. Και
οι δύο κακόβουλες
εφαρμογές είχαν
σχεδιαστεί για να
κλέβουν τα χρήματα των
θυμάτων μέσω της
αλληλεπίδρασης των
χρηστών και της αρχικής
εφαρμογής PIX.
Η PIX θεωρείται η
νούμερο ένα λύση
πληρωμών στη Βραζιλία,
επεξεργάζεται πάνω από
40 εκατομμύρια
συναλλαγές την ημέρα και
διαχειρίζεται 4,7
δισεκατομμύρια δολάρια
την εβδομάδα.
PixStealer: Διοχετεύει
τα ποσά σε λογαριασμούς
των εισβολέων
Η πρώτη παραλλαγή
ονομάζεται PixStealer.
Παρουσιάζεται σε αυτό
που η CPR αποκαλεί
«slim» μορφή, οι
επιτιθέμενοι σχεδίασαν
το PixStealer με μία
μόνο δυνατότητα: να
μεταφέρει τα χρήματα του
θύματος σε έναν
λογαριασμό που ελέγχεται
από τον δράστη. Η «slim»
παρουσίαση του
PixStealer είναι μια
αναφορά στην ικανότητα
της παραλλαγής να
λειτουργεί χωρίς σύνδεση
με έναν διακομιστή
εντολών και ελέγχου
(C&C), προωθώντας την
δυνατότητα απαρατήρητου
εντοπισμού. Η CPR βρήκε
τελικά το PixStealer να
διανέμεται στο Play
Store της Google ως μια
ψεύτικη υπηρεσία PagBank
Cashback, στοχεύοντας
μόνο στη Βραζιλιάνικη
PagBank.
Όταν ένας χρήστης
ανοίγει την εφαρμογή PIX
bank, το Pixstealer
εμφανίζει στο θύμα ένα
παράθυρο overlay, όπου ο
χρήστης δεν μπορεί να
δει τις κινήσεις του
εισβολέα. Πίσω από το
παράθυρο overlay, ο
επιτιθέμενος ανακτά το
διαθέσιμο χρηματικό ποσό
και μεταφέρει τα χρήματα,
συχνά ολόκληρο το
υπόλοιπο του λογαριασμού,
σε έναν άλλο λογαριασμό.
MalRhino: Υποκλέπτει εξ
ολοκλήρου τις τραπεζικές
εφαρμογές
Η CPR βρήκε μια πιο
προηγμένη παραλλαγή
τραπεζικού κακόβουλου
λογισμικού, ικανή να
καταλάβει ολόκληρη την
εφαρμογή PIX για κινητά
και άλλες τραπεζικές
εφαρμογές. Με την
ονομασία MalRhino, η CPR
βρήκε την πιο εξελιγμένη
παραλλαγή κακόβουλου
λογισμικού σε μια
ψεύτικη εφαρμογή iToken
για τη βραζιλιάνικη
Inter Bank – που
διανέμεται επίσης μέσω
του Play Store της
Google. Το MalRhino
εμφανίζει ένα μήνυμα στο
θύμα του προσπαθώντας να
το πείσει να χορηγήσει
άδεια προσβασιμότητας.
Μόλις αυτό γίνει, το
MalRhino μπορεί:
Να πάρει την
εγκατεστημένη εφαρμογή
και να στείλει τη λίστα
στον C&C διακομιστή μαζί
με τις πληροφορίες της
συσκευής του θύματος.