Cibercriminosos utilizam apps bancários maliciosos para roubos via Pix

A Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software Technologies, relatou uma nova modalidade de ataques cibernéticos contra os usuários do Pix. Os ataques são promovidos através dos malwares bancários PixStealer e MalRhino, injetados em dois aplicativos maliciosos distribuídos pela Play Store, loja de apps do Android.

Segundo a companhia, ambos os aplicativos maliciosos foram projetados para roubar dinheiro das vítimas por meio da interação do usuário e do aplicativo bancário para transferência de valores via Pix. Os aplicativos já foram removidos da loja Play Store.

A CPR afirmou que os aplicativos maliciosos podem ser considerados uma evolução de uma conhecida família de malware bancário brasileiro, que já foram distribuídos na Google Play Store no passado.

Os pesquisadores de segurança analisaram os aplicativos maliciosos em abril de 2021 e encontraram uma extensão para novas técnicas e recursos.

Uma das versões encontradas de malware, apelidada de PixStealer, contém uma funcionalidade nunca antes vista que permite roubar o dinheiro das vítimas usando transações Pix. Nesta variante, os atacantes projetaram o PixStealer com apenas um recurso: transferir os fundos da vítima para uma conta controlada pelo atacante.

A variante tem a capacidade de operar sem conexão com um servidor de comando e controle (C&C), o que permite que passe despercebido. No ataque descoberto, o PixStealer estava sendo distribuído na Google Play Store como um falso serviço PagBank Cashback, visando apenas o PagBank brasileiro.

Quando um usuário abre seu aplicativo de banco para acessar o Pix, o PixStealer mostra à vítima uma janela de sobreposição, na qual o usuário não pode ver os movimentos do atacante. Atrás da janela de sobreposição, o atacante recupera a quantidade de dinheiro disponível e o transfere, geralmente o saldo inteiro daquela conta para uma outra conta.

A CPR também identificou uma variante de malware bancário mais avançada, capaz de sequestrar todo o aplicativo móvel com PIX e outros aplicativos bancários. Chamada de MalRhino, essa variante surgiu em um aplicativo falso do iToken para o Banco Inter brasileiro e que também era distribuído pela Play Store.

O MalRhino exibe uma mensagem para sua vítima tentando convencê-la a conceder permissão de acessibilidade. Uma vez concedida, o MalRhino poderia coletar o aplicativo instalado e enviar a lista para o servidor C&C com as informações do dispositivo da vítima; executar aplicativos de bancos e até recuperar o pin do aplicativo Nubank.

“Vivemos em uma época em que os cibercriminosos não precisam invadir um banco para roubar dinheiro. Tudo o que um cibercriminoso precisa fazer é entender as plataformas que os bancos usam e suas respectivas armadilhas. Há uma tendência crescente em que eles estão perseguindo os aplicativos de bancos institucionais”, comenta Lotem Finkelsteen, líder de Inteligência de Ameaças da Check Point Software Technologies.