Um trojan bancário Android recentemente identificado, capaz de sequestrar as transferências instantâneas de pagamentos do Brasil, visando um dos sistemas financeiros mais utilizados do país, foi descoberto por pesquisadores de segurança.
O malware, conhecido como PixRevolution, monitora silenciosamente os smartphones das vítimas e redireciona fundos durante transações PIX, de acordo com uma nova análise da empresa de segurança móvel Zimperium.
A plataforma PIX do Brasil, lançada em 2020 pelo Banco Central do Brasil, permite pagamentos instantâneos com liquidação em segundos. O sistema transformou o cenário financeiro do país, com mais de 76% dos brasileiros utilizando-o e mais de três bilhões de transações processadas todos os meses.
Os pesquisadores disseram que o PixRevolution explora a velocidade e a irreversibilidade dessas transferências. Depois que um pagamento PIX é concluído, ele não pode ser revertido, o que o torna um alvo atraente para o crime cibernético financeiro.
Sequestro de pagamento em tempo real
O trojan permanece oculto no dispositivo da vítima até que uma transação PIX seja iniciada. Quando um usuário insere a chave de pagamento do destinatário e confirma a transferência, o malware exibe brevemente uma tela de carregamento onde se lê “Aguarde…”, que significa “por favor, aguarde”.
Nos bastidores, porém, o malware substitui a chave do destinatário por uma controlada pelos invasores. A transação é concluída normalmente, deixando a vítima sem saber que os fundos foram redirecionados.
Ao contrário de muitos trojans bancários que dependem de scripts automatizados, o PixRevolution usa o que os pesquisadores chamam de modelo de “agente no circuito”. Um operador remoto observa a tela do telefone da vítima quase em tempo real e intervém no exato momento em que o pagamento é processado.
Leia mais sobre crimes cibernéticos financeiros: Fraude de pagamento push autorizado, um risco à segurança nacional para o Reino Unido, conclui o relatório
Zimperium disse que o malware depende de várias técnicas coordenadas:
-
Monitoramento contínuo através de permissões de acessibilidade do Android
-
Transmissão de tela ao vivo para um servidor de comando controlado pelo invasor
-
Detecção de palavras-chave para identificar transações financeiras
-
Uma sobreposição de carregamento falsa que oculta o momento em que os detalhes do pagamento são substituídos
Toda a manipulação leva apenas alguns segundos e deixa poucas indicações de que algo incomum ocorreu.
Aplicativos falsos usados para espalhar malware
Cimério avisado que a campanha se espalha através de páginas de download fraudulentas projetadas para se parecerem com a loja oficial do Google Play. Esses sites imitam listagens de aplicativos reais, completas com descrições, classificações e botões de instalação. Em vez de redirecionar para a loja original, o botão baixa um arquivo malicioso do Android.
Os pesquisadores identificaram diversas amostras que se faziam passar por serviços brasileiros bem conhecidos, incluindo plataformas de viagens, serviços postais, aplicativos de investimento e software antivírus.
Após a instalação, os usuários são solicitados a habilitar um serviço de acessibilidade chamado “Revolution”. A página de integração afirma que a permissão é necessária para ativar os recursos do aplicativo e garante aos usuários que nenhuma informação pessoal é coletada.
Uma vez concedido, no entanto, o trojan ganha amplo acesso ao dispositivo, incluindo a capacidade de ler o conteúdo da tela e simular toques.
Com mais de 150 milhões de usuários do PIX no Brasil e bilhões de transações mensais, os pesquisadores alertam que mesmo uma pequena taxa de sucesso para ataques como o PixRevolution pode levar a perdas financeiras significativas.
Deseja saber mais sobre Segurança Clique Aqui!