9月底,研究人员在谷歌应用商店发现了一系列的目标Pix巴西银行的支付系统和恶意软件之一可以直接窃取目标钱包,研究人员将其命名为PixStealer。
在此期间,新冠肺炎加速了银行业的数字化进程,最成功的例子之一是Pix,巴西央行创建的即时支付解决方案。
Pix2020年11月发布,目前日交易量已达4000万,每周交易总额已达47亿美元,但与此同时,黑客也盯上了Pix支付。
PixStealer技术分析
PixStealer恶意软件的内部名称是Pag Cashback 1.4。该软件在谷歌应用商店伪装成PagBank Cashback传播。包名为com.pagcashback.beta,表示应用程序可能仍处于测试阶段。
PixStealer很小,只有最低权限,没有和谐C&C它只有一个功能:将受害者的所有资金转移到攻击者控制的账户。因此,恶意软件无法通过C&C更新,不能窃取和上传受害者的信息,但不能被发现。
PixStealer也适用于安卓可访问性服务。AAS主要目的是帮助残疾用户更方便地应用Android设备和应用程序。当恶意软件诱导目标启用该服务时,应用程序可以读取用户的任何可读内容,并执行用户可执行的任何操作。
恶意软件会向受害者发送信息,要求激活可访问性服务,获得所谓的信息“现金返还”该功能,该服务名称com.gservice.autobot.Acessibilidade,如下图:
恶意软件在授权可访问性服务后同时调用和打开信息PagBank同步。受害者打开银行账户并输入凭证后,恶意软件将单击访问权限“显示”按钮查询受害者的当前余额。
保存了查询结果valor中:
然后恶意软件会显示假覆盖图,要求用户等待同步完成:
覆盖屏幕起着非常重要的作用:在此期间,恶意软件将所有资金转移到黑客控制的账户。
PagBank用户需要执行Pix支付前进行身份验证,确保设备属于银行账户所有者,并要求用户进行以下验证:
- 双因素身份验证(证据和SMS)
- 上传身份确认文件
- 用相机拍摄用户。
- 但PixStealer是在通过身份验证阶段才开始运行,绕过了所有检查。
同家恶意软件MalRhino
不与C&C在研究过程中很难检测到通信的独立恶意软件PixStealer恶意软件同源性高:MalRhino,类似于前者mainfest、日志信息、服务和方法名称。
PixStealer日志信息
MalRhino 日志信息
使用恶意软件假冒巴西国际银行Rhino框架,软件包名为com.gnservice.beta,也通过谷歌应用商店传播,用户在运营前也需要授予权限。
