Check Point Research: PixStealer νέο Android banking Trojan

PixStealer: Η Check Point Research (CPR), του τμήματος έρευνας της Check Point Software Technologies, για κυβερνοεπιθέσεις σε χρήστες του PIX, του συστήματος άμεσων πληρωμών που διαχειρίζεται η Κεντρική Τράπεζα της Βραζιλίας, ανακάλυψε πως οι εγκληματίες του κυβερνοχώρου εξαπάτησαν τους χρήστες ώστε να μεταφέρουν ολόκληρο το υπόλοιπο του λογαριασμού τους σε άλλο τραπεζικό λογαριασμό, διανέμοντας δύο κακόβουλες εφαρμογές στο Play Store της Google.

Οι εφαρμογές έχουν πλέον αφαιρεθεί από το Play Store της Google, αλλά η Check Point Software συνιστά στους χρήστες να αφαιρέσουν αμέσως τις κακόβουλες εφαρμογές από τα κινητά τους τηλέφωνα.

pix blog header 1

Η Check Point Research (CPR) εντόπισε κυβερνοεπιθέσεις εναντίον των χρηστών του PIX, της λύσης άμεσων πληρωμών που δημιούργησε και διαχειρίζεται η Κεντρική Τράπεζα της Βραζιλίας. Οι επιτιθέμενοι διένειμαν δύο διαφορετικές παραλλαγές τραπεζικού κακόβουλου λογισμικού, με την ονομασία PixStealer και MalRhino, μέσω δύο διαφορετικών κακόβουλων εφαρμογών στο Play Store της Google για να πραγματοποιήσουν τις επιθέσεις τους. Και οι δύο κακόβουλες εφαρμογές είχαν σχεδιαστεί για να κλέβουν τα χρήματα των θυμάτων μέσω της αλληλεπίδρασης των χρηστών και της αρχικής εφαρμογής PIX.

Η PIX θεωρείται η νούμερο ένα λύση πληρωμών στη Βραζιλία, επεξεργάζεται πάνω από 40 εκατομμύρια συναλλαγές την ημέρα και διαχειρίζεται 4,7 δισεκατομμύρια δολάρια την εβδομάδα.

 

 Name  Package Name  Md5
Inter bank br.com.intermidium 2ef536239b84195e099013cfda06d3dd
NuBank com.nu.production 678212691ab75ea925633512d9e3b5f4
Next br.com.bradesco.next d74e8b32e9d704633bd69581a15f55de
Santander com.santander.app 38737771e1ddab60c062cd0be323e89b
UOL PagBank br.com.uol.ps.myaccount 5b3deb74ec783b05645b3fff5d56667d
Banco original br.com.original.bank 64679e8af5f494db86fb7b7312e79ba9

Το PixStealer διοχετεύει τα ποσά των λογαριασμών σε λογαριασμούς των εισβολέων

Η πρώτη παραλλαγή ονομάζεται PixStealer. Παρουσιάζεται σε αυτό που η CPR αποκαλεί “slim” μορφή, οι επιτιθέμενοι σχεδίασαν το PixStealer με μία μόνο δυνατότητα: να μεταφέρει τα χρήματα του θύματος σε έναν λογαριασμό που ελέγχεται από τον δράστη.

1

Η “slim” παρουσίαση του PixStealer είναι μια αναφορά στην ικανότητα της παραλλαγής να λειτουργεί χωρίς σύνδεση με έναν διακομιστή εντολών και ελέγχου (C&C), προωθώντας την δυνατότητα απαρατήρητου εντοπισμού. Η CPR βρήκε τελικά το PixStealer να διανέμεται στο Play Store της Google ως μια ψεύτικη υπηρεσία PagBank Cashback, στοχεύοντας μόνο στη Βραζιλιάνικη PagBank.

Όταν ένας χρήστης ανοίγει την εφαρμογή PIX bank, το Pixstealer εμφανίζει στο θύμα ένα παράθυρο overlay, όπου ο χρήστης δεν μπορεί να δει τις κινήσεις του εισβολέα. Πίσω από το παράθυρο overlay, ο επιτιθέμενος ανακτά το διαθέσιμο χρηματικό ποσό και μεταφέρει τα χρήματα, συχνά ολόκληρο το υπόλοιπο του λογαριασμού, σε έναν άλλο λογαριασμό.

Το MalRhino υποκλέπτει εξ ολοκλήρου τις τραπεζικές εφαρμογές

Η CPR βρήκε μια πιο προηγμένη παραλλαγή τραπεζικού κακόβουλου λογισμικού, ικανή να καταλάβει ολόκληρη την εφαρμογή PIX για κινητά και άλλες τραπεζικές εφαρμογές. Με την ονομασία MalRhino, η CPR βρήκε την πιο εξελιγμένη παραλλαγή κακόβουλου λογισμικού σε μια ψεύτικη εφαρμογή iToken για τη βραζιλιάνικη Inter Bank – που διανέμεται επίσης μέσω του Play Store της Google. Το MalRhino εμφανίζει ένα μήνυμα στο θύμα του προσπαθώντας να το πείσει να χορηγήσει άδεια προσβασιμότητας. Μόλις αυτό γίνει, το MalRhino μπορεί:

  • Να πάρει την εγκατεστημένη εφαρμογή και να στείλει τη λίστα στον C&Cδιακομιστή μαζί με τις πληροφορίες της συσκευής του θύματος.
  • Να εκτελέσει εφαρμογές τραπεζών
  • Να ανακτήσει το pin από την εφαρμογή Nubank

IOCs

PixStealer

28e8170485bbee78e1a54aae6a955e64fe299978cbb908da60e8663c794fd195 com.pagcashback.beta c0585b792c0a9b8ef99b2b31edb28c5dac23f0c9eb47a0b800de848a9ab4b06c com.pagback.beta

8b4f064895f8fac9a5f25a900ff964828e481d5df2a2c2e08e17231138e3e902 com.gnservice.beta

MalRhino

2990f396c120b33c492d02e771c9f1968239147acec13afc9f500acae271aa11 com.gnservice.beta

Σχόλιο του Lotem Finkelsteen, Head of Threat Intelligence στην Check Point Software Technologies:

“Ζούμε σε μια εποχή όπου οι εγκληματίες του κυβερνοχώρου δεν χρειάζεται να χακάρουν μια τράπεζα για να κλέψουν χρήματα. Το μόνο που χρειάζεται να κάνει ένας εγκληματίας του κυβερνοχώρου είναι να κατανοήσει τις πλατφόρμες που χρησιμοποιούν οι τράπεζες και τις αντίστοιχες παγίδες τους. Υπάρχει μια αυξανόμενη τάση όπου οι εγκληματίες του κυβερνοχώρου κυνηγούν τις εφαρμογές των θεσμικών τραπεζών. Αυτή τη φορά, διαπιστώσαμε κυβερνοεπιθέσεις εναντίον των χρηστών της Νο1 τραπεζικής εφαρμογής της Βραζιλίας.

Η επίθεση αφορούσε δύο κακόβουλες εφαρμογές, οι οποίες κάποια στιγμή μπορούσαν να βρεθούν στο Google Play Store, αλλά όχι πλέον.

Οι επιτιθέμενοι παρουσίασαν μια λεπτή έκδοση, η οποία εκτελούσε ένα overlay κατά τη χρήση της νόμιμης εφαρμογής και μια ολοκληρωμένη έκδοση που έχει δυνατότητες να καταλάβει τελικά ολόκληρη την τραπεζική εφαρμογή. Πιστεύουμε ότι αυτές οι επιθέσεις στον κυβερνοχώρο αποτελούν ένα ισχυρό σημάδι ότι οι εγκληματίες σε αυτόν τείνουν να αναπτύξουν τις δραστηριότητές τους γύρω από το κακόβουλο λογισμικό τραπεζικών εφαρμογών android, με στόχο να μεταφέρουν χρήματα των θυμάτων στους δικούς τους λογαριασμούς. Σε έναν κόσμο όπου τα πάντα γίνονται εξ αποστάσεως λόγω του Covid, συνιστούμε στους χρήστες να αφαιρέσουν άμεσα τις κακόβουλες εφαρμογές από τα κινητά τους τηλέφωνα.

Προτρέπω επίσης όλους τους χρήστες τραπεζικών εφαρμογών να προσέχουν για τραπεζικό κακόβουλο λογισμικό που είναι ενσωματωμένο σε εφαρμογές κινητών τηλεφώνων. Η CPR θα συνεχίσει να παρακολουθεί τις τελευταίες τεχνολογικές τάσεις και τον τρόπο με τον οποίο τις εκμεταλλεύονται οι εγκληματίες του κυβερνοχώρου”.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















PIX,Play Store,Check Point Research,PixStealer

Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).