PixStealer

PixStealerは、Pix支払いシステムを標的とし、被害者の資金を空にすることを目的としたAndroidバンキング型トロイの木馬です。 Pixは、ブラジル中央銀行が2020年に立ち上げた即時支払いソリューションです。それ以来、このアプリケーションは1日あたり4,000万件のトランザクションを蓄積し、1週間で合計47億ドル相当の転送を行うことができました。サイバー犯罪者がアプリケーションを標的にし始めているのも不思議ではありません。

Check Point Researchの調査結果によると、PixStealerの脅威は偽のPagBankキャッシュバックサービスアプリケーションによって配布されました。その唯一のターゲットはブラジルのPagBankでした。脅迫的なアプリケーションは、GooglePlayストアからダウンロードできました。

脅迫能力

PixStealerの脅威は、Pixトランザクションを介して被害者のお金を集めることを可能にする、これまでにない手法を示しています。脅威のもう1つの際立った特徴は、それが非常に最小限であるということです。攻撃者は、Androidバンキング型トロイの木馬がますます巧妙化する中で、最近の傾向とは逆の方向に進んでいます。代わりに、PixStealerには、対象となる銀行アプリケーションのクレデンシャルの収集など、一般的な銀行機能を実行する機能がありません。コマンドアンドコントロール（C＆C、C2）サーバーとも通信できません。

実際には、これは、PixStealerが攻撃者からの指示を受信したり、更新したり、デバイスから情報をアップロードしたりできないことを意味します。ただし、このアプローチでは、脅威が最小限の権限に依存し、その唯一の機能を追求している間、潜在的にはるかに長い間隠されたままになります。つまり、被害者の資金をサイバー犯罪者が管理するアカウントに送金します。正規のAndroidアクセシビリティサービスを悪用することで、この有害な目標を達成します。

アクセシビリティサービスは、さまざまな障害を持つ人々がはるかに快適に電話を操作できるようにするために実装されました。しかし、ハッカーは、脅迫的な作品にサービスへのアクセスが許可された場合、悪用してデバイス上で多数の侵入行為を実行する可能性があることにすぐに気付きました。アクセシビリティサービスの最も悪用されている側面は、デバイスの画面で行われているすべてのアクティビティを傍受して監視する機能です。

PixStealerの攻撃

偽のアプリケーションが起動すると、「キャッシュバック」機能を装ってアクセシビリティサービスのアクセス許可を求めるメッセージボックスが被害者に表示されます。次に、想定される同期のためにPagBankアプリケーションを開くように被害者に促します。受け取ったアクセス許可があれば、脅威はアプリケーション自体を簡単に開くことができますが、ユーザーが自分でそれを実行できるようにすることはそれほど疑わしいことではありません。

被害者がアプリケーションを開いて資格情報を入力すると、脅威はアクセシビリティサービスを悪用して、[表示]ボタンのタップをシミュレートし、アカウントの現在の残高を取得します。 PixStealerは偽のオーバーレイを表示し、存在しない「同期」が終了するのを待つようにユーザーに要求します。ただし、バックグラウンドでは、脅威は資金を吸い上げて攻撃者のアカウントに転送することです。