Cibercriminosos atacam app PIX, a maior plataforma de pagamento instantâneo do Brasil

A Check Point Research (CPR) identificou um conjunto de ciberataques visando utilizadores do PIX, uma solução de pagamento instantâneo criada e gerida pelo Banco Central Brasileiro. Os atacantes distribuíram duas variantes diferentes de malware bancário, denominadas PixStealer e MalRhino, por meio de duas aplicações maliciosas disponíveis na Google Play Store. Ambas as aplicações foram concebidas para roubar dinheiro das vítimas através da própria interação do utilizador e da versão original e legítima da aplicação PIX.

Considerada a principal solução de pagamento instantâneo do Brasil, o PIX processa mais de 40 milhões de transações por dia, movendo, por semana, o equivalente a quase e 5 mil milhões de dólares por semana.

PixStealer desvia saldos de contas inteiros

A primeira variante identificada foi apelidada de PixStealer. Apresentada numa versão mais “leve”, segundo a CPR, os atacantes conceberam a PixStealer com apenas uma capacidade: transferir os fundos de um dado utilizador para uma conta controlada por um agente malicioso. A ideia de que se trata de uma versão mais leve é uma referência à capacidade da variante de operar sem estar conectada a um servidor Command & Control (C&C), permitindo que permaneça indetetável. A CPR acabou por encontrar este malware a ser distribuído na Google Play Store, sob disfarce de um serviço falso de cashback do PagBank que visava apenas o PagBank brasileiro.

Quando um utilizador abre a aplicação bancária PIX, o Pixstealer apresenta à vítima uma página que se sobrepõe aos movimentos do atacante, tornando-os invisíveis para o utilizador. Por trás da página, o atacante transfere o saldo bancário para outra conta.

MalRhino em controlo total das aplicações de banking

A CPR identificou ainda uma variante de malware mais avançada, capaz de ‘hackear’ completamente a aplicação móvel PIX e outras aplicações bancárias. Denominada MalRhino, a mais avançada variante de malware foi encontrada numa falsa aplicação iToken para o Inter Bank brasileiro – também distribuída através da Google Play Store. O ataque inicia-se quando o malware MalRhino exibe, no ecrã do utilizador, uma mensagem que procura convencer o mesmo a conceder a permissão de acessibilidade. Uma vez garantida, o malware pode:

  • Recolher a lista de aplicações instaladas e enviar a lista ao servidor C&C junto com a informação do dispositivo da vítima
  • Executar aplicações bancárias
  • Recuperar o pin aplicação bancária Nubank

“Vivemos num tempo em que os cibecriminosos não têm de hackear um banco para roubar dinheiro. Na verdade, a única coisa que têm de fazer é perceber como funcionam as plataformas bancárias e descobrir as suas respetivas falhas. Há uma tendência crescente de ciberataque que visa, essencialmente, as apps de banking,” começa por dizer Lotem Finkelsteen, Head of Threat Intelligence at Check Point Software Technologies. “Neste caso em específico, identificamos ciberataques contra utilizadores da maior aplicação bancária do Brasil. O ataque envolvia duas aplicações maliciosas, até então disponíveis na Play Store. Os atacantes apresentavam uma versão mais leve que se sobrepunha à aplicação legítima quando estava em utilização, e uma versão completa capaz de sequestrar, eventualmente, toda a aplicação bancária. Na nossa visão, estes ciberataques são fortes indícios de que os atacantes estão a centrar a sua atividade no android banking malware, com o objetivo de transferir fundos das vítimas para as suas próprias contas. Recomendamos os utilizadores a remover imediatamente as aplicações maliciosas do seu telemóvel, caso tenham avançado com a instalação, e a estar especialmente atentos às aplicações de banking e potenciais fragilidades. Do nosso lado, continuaremos a monitorizar as mais recentes tendências tecnológicas e a forma como os cibercriminosos procuram usufruir das mesmas.”

Check Also

O melhor revendedor de informática em Portugal

O Depau Sistemas é um  revendedor de informática em Espanha, fundado em 1995, que se …

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.