A Check Point Research (CPR) detectou ataques cibernéticos contra os usuários do PIX, serviço de pagamento instantâneo criado e gerenciado pelo Banco Central do Brasil. Os atacantes distribuíram duas variantes diferentes de malware bancário, chamados PixStealer e MalRhino, por meio de dois aplicativos maliciosos separados na Play Store do Google para realizar seus ataques (os quais não estão mais disponíveis na loja). Ambos os aplicativos maliciosos foram projetados para roubar dinheiro das vítimas por meio da interação do usuário e do aplicativo bancário para transferência de valores via PIX.
O PIX é considerado o serviço de pagamento número um no Brasil, processando mais de 40 milhões de transações por dia e movimentando R$ 24,8 bilhões (US$ 4,7 bilhões) por semana.
A Check Point Research (CPR) descobriu recentemente uma nova onda de aplicativos Android maliciosos voltados para ciberataques que realizam transferências de saldos via PIX e aplicativos de bancos brasileiros. Esses aplicativos maliciosos são uma evolução de uma conhecida família de malware bancário brasileiro e que já foram distribuídos na Google Play Store. Os pesquisadores de segurança analisaram os aplicativos maliciosos em abril de 2021 e encontraram uma extensão para novas técnicas e recursos. Uma das versões encontradas de malware, apelidada de PixStealer, contém uma funcionalidade nunca antes vista que permite roubar o dinheiro das vítimas usando transações PIX.
Nessa variante PixStealer, apresentada pela CPR como forma "leve" de malware, os atacantes projetaram o PixStealer com apenas um recurso: transferir os fundos da vítima para uma conta controlada pelo atacante. A apresentação "leve" do PixStealer é uma referência à capacidade da variante de operar sem conexão com um servidor de comando e controle (C&C), promovendo a capacidade de passar despercebido. Por fim, a CPR descobriu que o PixStealer estava sendo distribuído na Google Play Store como um falso serviço PagBank Cashback, visando apenas o PagBank brasileiro.
Quando um usuário abre seu aplicativo de banco para acessar o PIX, o PixStealer mostra à vítima uma janela de sobreposição, na qual o usuário não pode ver os movimentos do atacante. Atrás da janela de sobreposição, o atacante recupera a quantidade de dinheiro disponível e o transfere, geralmente o saldo inteiro daquela conta para uma outra conta.
A CPR também identificou uma variante de malware bancário mais avançada, capaz de sequestrar todo o aplicativo móvel com PIX e outros aplicativos bancários. Chamado de MalRhino, a CPR encontrou essa variante em um aplicativo falso do iToken para o Banco Inter brasileiro e que também era distribuído pela Play Store. O MalRhino exibe uma mensagem para sua vítima tentando convencê-la a conceder permissão de acessibilidade. Uma vez concedida, o MalRhino poderia:
• Coletar o aplicativo instalado e enviar a lista para o servidor C&C com as informações do dispositivo da vítima.
• Executar aplicativos de bancos.
• Recuperar o pin do aplicativo Nubank.
"Vivemos em uma época em que os cibercriminosos não precisam invadir um banco para roubar dinheiro. Tudo o que um cibercriminoso precisa fazer é entender as plataformas que os bancos usam e suas respectivas armadilhas. Há uma tendência crescente em que os eles estão perseguindo os aplicativos de bancos institucionais", comenta Lotem Finkelsteen, head de Inteligência de Ameaças da Check Point Software Technologies.
Segundo Finkelsteen, desta vez, os pesquisadores encontraram ataques cibernéticos contra os usuários do serviço de pagamento instantâneo número um do Brasil, o PIX. O ataque envolveu dois aplicativos maliciosos, que em algum momento podiam ser encontrados no Google Play Store, mas agora não mais. "Os atacantes apresentaram uma versão simplificada de malware, que executava uma sobreposição de tela ao usar o aplicativo legítimo, e uma versão completa que tinha recursos para sequestrar todo o aplicativo bancário, eventualmente."
Os pesquisadores da Check Point Software acreditam que esses ciberataques sejam um forte sinal de que os cibercriminosos estão direcionando suas atividades ao malware de banco de Android, com o objetivo de transferir fundos das vítimas para suas próprias contas. "Em um mundo onde tudo é feito remotamente devido ao impacto da pandemia do coronavírus, recomendamos aos usuários remover os aplicativos maliciosos de seus smartphones imediatamente. Também ressalto a todos os usuários de aplicativos bancários a ficarem atentos a malware bancário vinculado aos aplicativos móveis. A CPR continuará monitorando as últimas tendências tecnológicas e como os cibercriminosos estão se aproveitando delas", finaliza Lotem Finkelsteen.