PixStealer

PixStealer es un troyano bancario de Android que se dirige al sistema de pago Pix y tiene como objetivo vaciar el fondo de la víctima. Pix es una solución de pago instantáneo lanzada en 2020 por el Banco Central de Brasil. Desde entonces, la aplicación ha logrado acumular 40 millones de transacciones por día y un total de $ 4.7 mil millones en transferencias en una semana. No es de extrañar que los ciberdelincuentes estén empezando a apuntar a la aplicación.

De acuerdo con los hallazgos de Check Point Research, la amenaza PixStealer fue distribuida por una aplicación falsa del servicio PagBank Cashback. Su único objetivo era el PagBank brasileño. La aplicación amenazante estaba disponible para su descarga en la tienda Google Play.

Capacidades amenazantes

La amenaza PixStealer exhibe una técnica nunca antes vista que le permite cobrar el dinero de la víctima a través de transacciones Pix. Otra característica distintiva de la amenaza es que es extremadamente minimalista. El actor de amenazas ha ido en la dirección opuesta a la tendencia reciente entre los troyanos bancarios de Android cada vez más sofisticados. En cambio, PixStealer carece de la funcionalidad para realizar cualquiera de las funciones bancarias comunes, como recopilar credenciales de aplicaciones bancarias específicas. Tampoco puede comunicarse con un servidor de comando y control (C&C, C2).

En términos prácticos, esto significa que PixStealer no puede recibir instrucciones de los atacantes, no puede actualizarse y no puede cargar ninguna información desde el dispositivo. Sin embargo, este enfoque permite que la amenaza se base en permisos mínimos y potencialmente permanezca oculta durante mucho más tiempo mientras persigue su única función: transferir los fondos de la víctima a una cuenta controlada por los ciberdelincuentes. Logra este objetivo dañino al abusar del legítimo Servicio de Accesibilidad de Android.

El Servicio de Accesibilidad se implementó para ayudar a las personas con diversas discapacidades a operar sus teléfonos de manera mucho más cómoda. Sin embargo, los piratas informáticos se dieron cuenta rápidamente de que si sus creaciones amenazantes tuvieran acceso al servicio, podrían abusar para realizar numerosas acciones intrusivas en el dispositivo. El aspecto más abusado del Servicio de Accesibilidad es su capacidad para interceptar y monitorear todas las actividades que tienen lugar en la pantalla del dispositivo.

El ataque de PixStealer

Cuando se inicia la aplicación falsa, muestra a la víctima un cuadro de mensaje que solicita los permisos del Servicio de Accesibilidad bajo el pretexto de la funcionalidad de "devolución de dinero". A continuación, solicita a la víctima que abra la aplicación PagBank para una supuesta sincronización. Con los permisos que ha recibido, la amenaza puede abrir fácilmente la aplicación, pero dejar que los usuarios lo hagan ellos mismos es menos sospechoso.

Una vez que las víctimas han abierto la aplicación e ingresado sus credenciales, la amenaza abusa del Servicio de Accesibilidad para simular un toque en el botón 'Mostrar' y recuperar el saldo actual de la cuenta. PixStealer muestra una superposición falsa y le pide al usuario que espere a que finalice la 'sincronización' inexistente.Sin embargo, en segundo plano, la amenaza está desviando los fondos y transfiriéndolos a la cuenta del atacante.