- Malware era distribuído através de duas aplicações maliciosas disponíveis na Google Play Store
- Atacantes desviavam fundos das contas das vítimas sem as mesmas se aperceberem
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, identificou um conjunto de ciberataques visando utilizadores do PIX, uma solução de pagamento instantâneo criada e gerida pelo Banco Central Brasileiro. Os atacantes distribuíram duas variantes diferentes de malware bancário, denominadas PixStealer e MalRhino, por meio de duas aplicações maliciosas disponíveis na Google Play Store. Ambas as aplicações foram concebidas para roubar dinheiro das vítimas através da própria interação do utilizador e da versão original e legítima da aplicação PIX.
Considerada a principal solução de pagamento instantâneo do Brasil, o PIX processa mais de 40 milhões de transações por dia, movendo, por semana, o equivalente a quase e 5 mil milhões de dólares por semana.
PixStealer desvia saldos de contas inteiros
A primeira variante identificada foi apelidada de PixStealer. Apresentada numa versão mais “leve”, segundo a CPR, os atacantes conceberam a PixStealer com apenas uma capacidade: transferir os fundos de um dado utilizador para uma conta controlada por um agente malicioso. A ideia de que se trata de uma versão mais leve é uma referência à capacidade da variante de operar sem estar conectada a um servidor Command & Control (C&C), permitindo que permaneça indetetável. A CPR acabou por encontrar este malware a ser distribuído na Google Play Store, sob disfarce de um serviço falso de cashback do PagBank que visava apenas o PagBank brasileiro.
Quando um utilizador abre a aplicação bancária PIX, o Pixstealer apresenta à vítima uma página que se sobrepõe aos movimentos do atacante, tornando-os invisíveis para o utilizador. Por trás da página, o atacante transfere o saldo bancário para outra conta.
MalRhino em controlo total das aplicações de banking
A CPR identificou ainda uma variante de malware mais avançada, capaz de ‘hackear’ completamente a aplicação móvel PIX e outras aplicações bancárias. Denominada MalRhino, a mais avançada variante de malware foi encontrada numa falsa aplicação iToken para o Inter Bank brasileiro – também distribuída através da Google Play Store. O ataque inicia-se quando o malware MalRhino exibe, no ecrã do utilizador, uma mensagem que procura convencer o mesmo a conceder a permissão de acessibilidade. Uma vez garantida, o malware pode:
- Recolher a lista de aplicações instaladas e enviar a lista ao servidor C&C junto com a informação do dispositivo da vítima
- Executar aplicações bancárias
- Recuperar o pin aplicação bancária Nubank
“Vivemos num tempo em que os cibecriminosos não têm de hackear um banco para roubar dinheiro. Na verdade, a única coisa que têm de fazer é perceber como funcionam as plataformas bancárias e descobrir as suas respetivas falhas. Há uma tendência crescente de ciberataque que visa, essencialmente, as apps de banking,” começa por dizer Lotem Finkelsteen, Head of Threat Intelligence at Check Point Software Technologies. “Neste caso em específico, identificamos ciberataques contra utilizadores da maior aplicação bancária do Brasil. O ataque envolvia duas aplicações maliciosas, até então disponíveis na Play Store. Os atacantes apresentavam uma versão mais leve que se sobrepunha à aplicação legítima quando estava em utilização, e uma versão completa capaz de sequestrar, eventualmente, toda a aplicação bancária. Na nossa visão, estes ciberataques são fortes indícios de que os atacantes estão a centrar a sua atividade no android banking malware, com o objetivo de transferir fundos das vítimas para as suas próprias contas. Recomendamos os utilizadores a remover imediatamente as aplicações maliciosas do seu telemóvel, caso tenham avançado com a instalação, e a estar especialmente atentos às aplicações de banking e potenciais fragilidades. Do nosso lado, continuaremos a monitorizar as mais recentes tendências tecnológicas e a forma como os cibercriminosos procuram usufruir das mesmas.”
Post A Comment:
0 comments: