Trojan para Android rouba Pix de brasileiros em tempo real
Por Jaqueline Sousa • Editado por Jones Oliveira |
A equipe de especialistas da zLabs detectou uma campanha hacker que mira o sistema de pagamentos instantâneos favorito dos brasileiros: o Pix. O golpe consiste em transferências criminosas em tempo real, que direcionam o dinheiro da vítima para contas fraudulentas.
- Novo golpe usa IA para gerar comprovante falso de Pix; bancos não devolvem valor
- Golpe da ClickBus usa site falso para roubar Pix e dados de cartão
A análise identificou que o “sequestro” é possível graças à disseminação de um trojan batizado de PixRevolution, que infecta o dispositivo da vítima para roubar dados bancários. Uma vez que o malware está ativo, o processo malicioso opera de maneira furtiva até o instante em que a pessoa inicia a transferência para concretizar o pagamento.
O que mais chamou a atenção dos especialistas durante a análise é que essa ameaça é diferente de ataques comuns a instituições bancárias, pois os criminosos atuam de maneira remota para monitorar o aparelho da vítima em tempo real, esperando o exato momento da transação para dar o golpe fatal.
Como o malware infecta o dispositivo
De acordo com os pesquisadores, a campanha aposta em um ataque em camadas, e tudo começa quando a vítima entra em contato com páginas falsas da Google Play Store.
Essas páginas imitam a interface e a identidade da loja oficial do Android para passar a sensação de credibilidade aos usuários, que clicam no botão de “Instalar” acreditando se tratar da versão verdadeira. Porém, o que é instalado no dispositivo não é o app legítimo e, sim, um APK malicioso.
Entre os aplicativos corrompidos estão versões falsas dos Correios, antivírus, espaços de pilates e até mesmo do Superior Tribunal de Justiça, que espalham um dropper cujo objetivo é instalar o trojan no sistema.
Já as instituições bancárias que estão embutidas no código do malware para facilitar o ataque estão Nubank, Itaú, Banco do Brasil, Santander, Caixa Econômica Federal, PicPay e PagSeguro.
Operação em segundo plano
Assim que o malware infecta o dispositivo, o app pede para que o usuário habilite um serviço de acessibilidade chamado “Revolution” a partir de instruções específicas. A plataforma ainda traz um aviso de segurança para que a pessoa acredite que nenhuma informação pessoal será coletada.
O simples ato de conceder a permissão vira o jogo totalmente a favor dos criminosos, que passam a ter acesso total ao dispositivo, como notificações de todos os aplicativos instalados no aparelho, inclusive os bancários. O trojan ainda possibilita a captura de tela em tempo real, o que abre espaço para que os criminosos vejam exatamente o que a pessoa está vendo.
Para identificar exatamente aquilo que os hackers querem (o dinheiro da vítima), o malware possui uma lista com mais de 80 frases em português que são voltadas para o universo financeiro, um recurso que facilita a identificação de quais atividades bancárias são realizadas pela vítima.
Logo, assim que a pessoa começa a digitar sua chave Pix para fazer uma transferência, o software malicioso entra em ação para enviar o comando de sequestro. Para que o alvo não desconfie, o malware executa uma tela com uma mensagem de “Aguarde”, bloqueando a visão da vítima para a transação.
Enquanto isso, o campo de texto em que a vítima digita a chave Pix é editado e substituído pela chave da conta criminosa. Dessa forma, o destinatário legítimo nunca recebe o valor enviado, já que ele vai parar diretamente nas mãos dos agentes maliciosos.
A vítima, por sua vez, apenas vê uma confirmação de “transferência concluída” quando a operação é finalizada, acreditando na credibilidade da transação financeira.
Fonte: Zimperium