PixStealer

PixStealer est un cheval de Troie bancaire Android qui cible le système de paiement Pix et vise à vider le fonds de la victime. Pix est une solution de paiement instantané lancée en 2020 par la Banque centrale du Brésil. Depuis, l'application a réussi à accumuler 40 millions de transactions par jour et un total de 4,7 milliards de dollars de transferts en une semaine. Il n'est pas étonnant que les cybercriminels commencent maintenant à cibler l'application.

Selon les conclusions de Check Point Research, la menace PixStealer a été distribuée par une fausse application de service PagBank Cashback. Sa seule cible était la PagBank brésilienne. L'application menaçante était disponible en téléchargement sur le Google Play Store.

Capacités menaçantes

La menace PixStealer présente une technique inédite qui lui permet de collecter l'argent de la victime via des transactions Pix. Une autre caractéristique distinctive de la menace est qu'elle est extrêmement minimaliste. L'acteur de la menace est allé dans la direction opposée de la tendance récente parmi les chevaux de Troie bancaires Android de plus en plus sophistiqués. Au lieu de cela, PixStealer n'a pas la fonctionnalité pour exécuter l'une des fonctions bancaires courantes, telles que la collecte des informations d'identification des applications bancaires ciblées. Il ne peut pas non plus communiquer avec un serveur Command-and-Control (C&C, C2).

Concrètement, cela signifie que PixStealer ne peut pas recevoir d'instructions des attaquants, ne peut pas être mis à jour et ne peut télécharger aucune information depuis l'appareil. Cependant, cette approche permet à la menace de s'appuyer sur des autorisations minimales et de rester potentiellement cachée bien plus longtemps tout en poursuivant sa seule fonction - transférer les fonds de la victime sur un compte contrôlé par les cybercriminels. Il atteint cet objectif nuisible en abusant du légitime service d'accessibilité Android.

Le service d'accessibilité a été mis en place pour aider les personnes souffrant de divers handicaps à utiliser leur téléphone beaucoup plus confortablement. Cependant, les pirates se sont vite rendu compte que si leurs créations menaçantes obtenaient l'accès au service, ils pourraient en abuser pour effectuer de nombreuses actions intrusives sur l'appareil. L'aspect le plus abusé du service d'accessibilité est sa capacité à intercepter et à surveiller toutes les activités qui se déroulent sur l'écran de l'appareil.

L'attaque de PixStealer

Lorsque la fausse application est lancée, elle affiche à la victime une boîte de message qui demande les autorisations du service d'accessibilité sous prétexte de fonctionnalité de « cashback ». Ensuite, il invite la victime à ouvrir l'application PagBank pour une synchronisation supposée. Avec les autorisations qu'elle a reçues, la menace peut facilement ouvrir l'application elle-même, mais laisser les utilisateurs le faire eux-mêmes est moins suspect.

Une fois que les victimes ont ouvert l'application et saisi leurs informations d'identification, la menace abuse du service d'accessibilité pour simuler un appui sur le bouton « Afficher » et récupérer le solde actuel du compte. PixStealer affiche une fausse superposition et demande à l'utilisateur d'attendre la fin de la "synchronisation" inexistante.Cependant, en arrière-plan, la menace siphonne les fonds et les transfère sur le compte de l'attaquant.