9月底,研究人员在GooglePlay商店中发现了一系列针对Pix支付系统和巴西银行的恶意软件。一种版本可以直接窃取目标钱包。人们将其命名为PixStealer。COVID-19加速了银行业的数字化,这一时期最成功的例子之一是巴西中央银行创建的即时支付解决方案Pix。Pix于2020年11月发布,如今日交易量已达4000万笔,周交易总额达47亿美元,但与此同时,黑客也盯上了Pix支付。PixStealer技术分析PixStealer恶意软件的内部名称是PagCashback1.4。该软件以PagBankCashback为幌子在GooglePlay商店中分发。包名为com.pagcashback.beta,表明该应用程序可能仍处于测试阶段。PixStealer非常小,具有最低限度的权限,与C&C无关,并且只有一个功能:将受害者的所有资金转移到攻击者控制的帐户中。因此,恶意软件无法通过C&C进行更新,也无法窃取和上传受害者信息,但可以保持不被发现。PixStealer还适用于Android的辅助功能服务。AAS的主要目的是帮助残障用户更轻松地适应Android设备和应用程序。当恶意软件诱使目标启用该服务时,应用程序能够读取用户可以读取的任何内容并采取用户可以采取的任何操作。恶意软件会向受害者发送一条消息,要求激活无障碍服务以获得所谓的“返现”功能,该服务名为com.gservice.autobot.Acessibilidade,如下图所示:授权无障碍服务后,恶意软件在调用和打开PagBank进行同步时显示信息。在受害者开设银行账户并输入凭据后,恶意软件会通过单击具有访问权限的“显示”(下方的眼睛图标)按钮来查询受害者的当前余额。查询结果保存在valor中:恶意软件然后显示一个伪造的覆盖,要求用户等待同步完成:覆盖屏幕起着非常重要的作用:在后台,恶意软件将所有资金转移到黑客控制的账户.PagBank在用户执行Pix支付之前需要身份验证,确保设备属于银行账户的所有者,并要求用户执行以下验证:双因素身份验证(凭证和短信)上传身份确认文件使用相机拍摄用户。但是PixStealer直到通过身份验证阶段才会开始运行,绕过所有检查。很难检测到不与C&C通信的同系列恶意软件MalRhino的独立恶意软件。在研究过程中,我们发现了一个与PixStealer同源性较高的恶意软件:MalRhino,其mainfest、日志信息和服务都与前者相似。和方法名称。PixStealer中的日志信息MalRhino中的日志信息该恶意软件伪装成巴西国际银行,使用Rhino框架,包名为com.gnservice.beta。它还通过GooglePlay商店传播,并要求用户在运行前授予权限。
