Estes falsos apps para Android exploram empresas brasileiras para roubos via Pix

A popularidade do Pix, sistema do Banco Central que permite a realização automática de transferências monetárias entre pessoas, está atraindo muitos criminosos. E além de roubos e sequestros, agora eles também estão atuando a partir de malwares.

• Golpe usa pagamento de PIX em faturas com falsos descontos enviados via SMS
• Banco Central confirma limite e novas medidas de segurança para o Pix
• Dinheiro roubado pelo Pix é difícil de ser recuperado, afirma desembargadora

Uma pesquisa realizada pela divisão de inteligência da Check Point Software, empresa fornecedora de soluções de cibersegurança global, detectou ataques virtuais visando acesso ao Pix de usuários. Esses golpes são realizados a partir de dois malwares bancários distribuídos por criminosos a partir de aplicativos maliciosos disponíveis na Google Play Store. Segundo o estudo, as pragas são chamadas de PixStealer e MalRhino e foram identificadas em dois apps falsos: o PagBank Cashback (o cashback da empresa é realizado em seu próprio aplicativo, que se chama apenas PagBank) e o iToken para o Banco Inter, ambos tentando se passar por aplicativos relacionados às empresas brasileiras.

A pesquisa da Check Point também afirma que esses vírus são evoluções de uma conhecida família brasileira de malware bancário e que já foram distribuídos na Google Play Store, mas agora com funções novas, que permitem o roubo do dinheiro das vítimas a partir de transações via Pix.

Como as ameaças funcionam

O PixStealer, considerado pela pesquisa da Check Point um malware leve, já que só atua no aplicativo malicioso em que ele é distribuído, conta com apenas um recurso: transferir os fundos da vítima para uma conta controlada pelo atacante. Ele também pode operar sem a necessidade de conexão com um servidor de comando e controle, podendo assim passar despercebido por muitos antivírus.

Segundo a Check Point, o PixStealer estava sendo distribuído a partir de um falso aplicativo PagBank Cashback, que visava usuários dos serviços do banco PagBank. Na primeira vez que o programa malicioso é aberto, ele pede ao dono do dispositivo pedindo para que ele conceda as permissão de acessibilidade para o app, justificando que esse passo é necessário para habilitar a função de "cashback" presente no serviço.

Após a permissão de acessibilidade ter sido cedida, quando o usuário abre seu aplicativo do PagBank para acessar o PIX, o PixStealer mostra à vítima uma janela sobreposta, na qual o usuário não pode ver os movimentos do atacante. Atrás da janela de sobreposição, o atacante recupera a quantidade de dinheiro disponível, e na maioria dos casos, o transfere inteiro para outra conta.

O segundo malware identificado pela pesquisa é chamado de MalRhino, já é considerado mais perigoso, sendo capaz de sequestrar todos os aplicativos móveis com acesso ao Pix instalados no dispositivo.

O MalRhino, quando executado pela primeira vez, assim como o PixStealer, exibe uma mensagem para sua vítima tentando convencê-la a conceder permissão de acessibilidade. Uma vez com o acesso concedido, o MalRhino pode coletar o aplicativo instalado e enviar a lista para o servidor de comando e controle (C&C) com as informações do dispositivo da vítima, executar aplicativos de bancos e recuperar, especificamente, o pin do aplicativo Nubank.

O MalRhino foi encontrado pela Check Point em um aplicativo falso do iToken para o Banco Inter brasileiro e que também era distribuído pela Play Store. No fechamento desta matéria, ambos os aplicativos já não estavam mais disponíveis na loja de aplicativos do Google.

Para Lotem Finkelsteen, gerente de Inteligência de Ameaças da Check Point Software, estamos vivendo uma época em que, para aplicar golpes financeiros, os cibercriminoso só precisam entender as plataformas que os bancos usam e suas respectivas armadilhas. Finkelsteen recomenda, para que os usuários possam se defender, a remoção dos aplicativos maliciosos caso eles estejam instalados nos dispositivos e também mais atenção ao baixar qualquer aplicativo financeiro das lojas de aplicativos, já que eles podem ser falsos apps.

O Canaltech entrou em contato com o Google perguntando como aplicativos maliciosos como o iToken e o PagBank Cashback foram disponibilizados na Play Store. Até a publicação da matéria, a empresa ainda não havia nos encaminhado uma resposta. Assim que recebermos um posicionamento, atualizaremos o conteúdo.

Fonte: Check Point