PixStealer

PixStealer ist ein Android-Banking-Trojaner, der auf das Pix-Zahlungssystem abzielt und darauf abzielt, das Guthaben des Opfers zu leeren. Pix ist eine Sofortzahlungslösung, die 2020 von der brasilianischen Zentralbank eingeführt wurde. Seitdem hat es die Anwendung geschafft, 40 Millionen Transaktionen pro Tag und insgesamt Überweisungen im Wert von 4,7 Milliarden US-Dollar in einer Woche zu sammeln. Kein Wunder, dass jetzt Cyberkriminelle die Anwendung ins Visier nehmen.

Nach den Ergebnissen von Check Point Research wurde die PixStealer-Bedrohung von einer gefälschten PagBank Cashback-Dienstanwendung verbreitet. Ihr einziges Ziel war die brasilianische PagBank. Die bedrohliche Anwendung stand im Google Play Store zum Download bereit.

Bedrohungspotenziale

Die PixStealer-Bedrohung zeigt eine noch nie dagewesene Technik, mit der sie das Geld des Opfers über Pix-Transaktionen einsammeln kann. Ein weiteres Unterscheidungsmerkmal der Bedrohung ist, dass sie äußerst minimalistisch ist. Der Bedrohungsakteur ist in die entgegengesetzte Richtung des jüngsten Trends bei Android-Banking-Trojanern gegangen, die immer ausgefeilter werden. Stattdessen fehlt PixStealer die Funktionalität, um eine der üblichen Bankfunktionen auszuführen, wie z. B. das Sammeln von Anmeldeinformationen für gezielte Bankanwendungen. Er kann auch nicht mit einem Command-and-Control (C&C, C2) Server kommunizieren.

Konkret bedeutet dies, dass PixStealer keine Anweisungen von den Angreifern erhalten kann, nicht aktualisiert werden und es können keine Informationen vom Gerät hochgeladen werden. Dieser Ansatz ermöglicht es der Bedrohung jedoch, sich auf minimale Berechtigungen zu verlassen und möglicherweise viel länger im Verborgenen zu bleiben, während sie ihrer einzigen Funktion nachgeht – die Gelder des Opfers auf ein von den Cyberkriminellen kontrolliertes Konto zu überweisen. Dieses schädliche Ziel wird erreicht, indem der legitime Android Accessibility Service missbraucht wird.

Der Accessibility Service wurde implementiert, um Menschen mit verschiedenen Behinderungen zu helfen, ihre Telefone viel bequemer zu bedienen. Die Hacker erkannten jedoch schnell, dass sie dies missbrauchen könnten, um zahlreiche aufdringliche Aktionen auf dem Gerät durchzuführen, wenn ihren bedrohlichen Kreationen Zugriff auf den Dienst gewährt würde. Der am häufigsten missbrauchte Aspekt des Barrierefreiheitsdienstes ist seine Fähigkeit, alle Aktivitäten, die auf dem Bildschirm des Geräts stattfinden, abzufangen und zu überwachen.

Angriff von PixStealer

Wenn die gefälschte Anwendung gestartet wird, zeigt sie dem Opfer ein Meldungsfeld an, das unter dem Vorwand der „Cashback“-Funktion nach Berechtigungen für den Accessibility Service fragt. Als nächstes fordert es das Opfer auf, die PagBank-Anwendung für die vermeintliche Synchronisierung zu öffnen. Mit den erhaltenen Berechtigungen kann die Bedrohung die Anwendung problemlos selbst öffnen, aber es ist weniger verdächtig, die Benutzer dies selbst tun zu lassen.

Sobald die Opfer die Anwendung geöffnet und ihre Zugangsdaten eingegeben haben, missbraucht die Bedrohung den Accessibility Service, um ein Tippen auf die Schaltfläche "Anzeigen" zu simulieren und den aktuellen Kontostand abzurufen. PixStealer zeigt ein gefälschtes Overlay an und fordert den Benutzer auf, zu warten, bis die nicht vorhandene "Synchronisierung" abgeschlossen ist. Im Hintergrund wird jedoch das Geld abgeschöpft und auf das Konto des Angreifers überwiesen.

Im Trend

Am häufigsten gesehen

Wird geladen...