Um novo trojan bancário chamado PixPirate foi criado, tendo como alvo principal instituições financeiras brasileiras. O objetivo do malware é cometer fraudes usando a plataforma de pagamentos, Pix.
- O PixPirate é um trojan bancário cujo alvo são instituições financeiras do Brasil
- Este malware busca atingir especificamente o Pix
- O trojan do Android descoberto há pouco tempo usa API de serviços de acessibilidade de sistemas operacionais para executar golpes
- Estes golpes vão desde interceptação de mensagens, desabilitação do Google Play Protect, interceptação de SMS, entre outros
- O PixPirate rouba senhas inseridas em aplicativos bancários
- Ele se instala sob a aparência de aplicativos autenticadores
Segundo informações do The Hacker News, a empresa italiana de segurança cibernética Cleafy, que descobriu o malware entre o final de 2022 e o início de 2023, está rastreando este trojan bancário sob o nome de PixPirate.
O PixPirate é a mais recente adição em uma longa lista de malwares bancários do Android que abusa da API de serviços de acessibilidade do sistema operacional para executar seus golpes, incluindo desabilitar o Google Play Protect, interceptar mensagens SMS, impedir a desinstalação e veicular anúncios não autorizados por meio de notificações push.
Além de roubar senhas inseridas por usuários em aplicativos bancários, os agentes de ameaças por trás da operação aproveitaram a ofuscação e a criptografia de código usando uma estrutura conhecida como Auto.js para resistir aos esforços de engenharia reversa.
O PixPirate pertence à mais nova geração de trojan bancário Android, pois pode executar ATS (Sistema de Transferência Automática), permitindo que invasores automatizem a inserção de uma transferência de dinheiro maliciosa na plataforma de Pagamento Instantâneo Pix, adotada por vários bancos brasileiros.
Francesco Iubatti e Alessandro Strino, pesquisadores
Os aplicativos usados para entregar o PixPirate sem o conhecimento dos usuários vêm sob a aparência de aplicativos autenticadores. Não há indícios de que os aplicativos tenham sido publicados na Google Play Store oficial.
As descobertas vêm mais de um mês depois que o ThreatFabric divulgou detalhes de outro malware chamado BrasDex que também vem com recursos ATS, além de abusar do Pix para fazer transferências fraudulentas de fundos.
“A introdução de capacidades ATS aliadas a estruturas que vão ajudar no desenvolvimento de aplicações móveis, utilizando linguagens flexíveis e mais difundidas (diminuindo a curva de aprendizagem e o tempo de desenvolvimento), poderá levar a malwares mais sofisticados que, no futuro, poderão ser comparados com suas contrapartes de estação de trabalho”, disseram os pesquisadores.
O desenvolvimento também ocorre quando a Cyble lança luz sobre um novo trojan de acesso remoto para Android, de codinome Gigabud RAT, direcionado a usuários na Tailândia, Peru e Filipinas desde pelo menos julho de 2022, disfarçado de aplicativos bancários e governamentais, e com a Itália alertando para o risco de ataques hackers em larga escala.
olhardigital