A Check Point Software Technologies, fornecedora de soluções de cibersegurança para empresas, detectou golpes de cibercriminosos contra usuários do Pix. De acordo com a divisão de inteligência da empresa, a Check Point Research (CPR), os atacantes distribuíram dois vírus diferentes – também conhecido como malware – para roubar dinheiro de vítimas.
Chamados PixStealer e MalRhino, os aplicativos maliciosos foram projetos para roubar dinheiro das vítimas por meio da interação do usuário e do aplicativo bancário para transferência de valores via Pix. Os cibercriminosos conseguiram disponibilizar os dois apps na Play Store do Google para realizar seus ataques, mas já foram retirados da loja.
LEIA MAIS: Procon-SP propõe mais medidas de segurança no Pix para evitar crimes
Os pesquisadores da Check Point explicam que os dois aplicativos maliciosos são uma evolução de uma conhecida família de malware bancário brasileiro. Eles já tinham sido distribuídos na Google Play Store. Segundo a análise deles, feita em abril de 2021, foi encontrada uma extensão para novas técnicas e recursos.
Lotem Finkelsteen, líder de Inteligência de Ameaças da Check Point Software Technologies, explica que estamos em uma época em que os cibercriminosos não precisam invadir um banco para roubar dinheiro. “Tudo o que um cibercriminoso precisa fazer é entender as plataformas que os bancos usam e suas respectivas armadilhas. Há uma tendência crescente em que os eles estão perseguindo os aplicativos de bancos institucionais”, declara.
App se disfarçava de PagBank
Uma das versões encontradas de malware, apelidada de PixStealer, contém uma funcionalidade nunca antes vista que permite roubar o dinheiro das vítimas usando transações Pix. Nessa variante PixStealer, apresentada pela CPR como forma “leve” de malware, os atacantes projetaram o app com apenas um recurso: transferir os fundos da vítima para uma conta controlada pelo atacante.
A categoria de “leve” do PixStealer é uma referência à capacidade da variante de operar sem conexão com um servidor de comando e controle (C&C), promovendo a capacidade de passar despercebido. Por fim, a CPR descobriu que o PixStealer estava sendo distribuído na Google Play Store como um falso serviço PagBank Cashback, visando apenas o PagBank brasileiro.
Quando um usuário abre seu aplicativo de banco para acessar o Pix, o PixStealer mostra à vítima uma janela de sobreposição, na qual o usuário não pode ver os movimentos do atacante. Atrás da janela de sobreposição, o atacante recupera a quantidade de dinheiro disponível e o transfere, geralmente o saldo inteiro daquela conta para uma outra conta.
Outro malware é ainda mais avançado
A CPR também identificou uma variante de malware bancário mais avançada, capaz de sequestrar todo o aplicativo móvel com Pixe outros aplicativos bancários. Chamado de MalRhino, os pesquisadores encontraram essa variante em um aplicativo falso do iToken para o Banco Inter e que também era distribuído pela Play Store.
O MalRhino exibe uma mensagem para sua vítima tentando convencê-la a conceder permissão de acessibilidade. Uma vez concedida, o MalRhino poderia:
- Coletar o aplicativo instalado e enviar a lista para o servidor C&C com as informações do dispositivo da vítima.
- Executar aplicativos de bancos.
- Recuperar o pin do aplicativo Nubank.
Os pesquisadores da Check Point Software acreditam que esses ciberataques sejam um forte sinal de que os cibercriminosos estão direcionando suas atividades ao malware de banco de Android, com o objetivo de transferir fundos das vítimas para suas próprias contas.
Segundo Finkelsteen, da Check Point, em um mundo onde tudo é feito remotamente devido ao impacto da pandemia do coronavírus, é recomendável aos usuários remover os aplicativos maliciosos de seus smartphones imediatamente. “Também ressalto a todos os usuários de aplicativos bancários a ficarem atentos a malware bancário vinculado aos aplicativos móveis. A CPR continuará monitorando as últimas tendências tecnológicas e como os cibercriminosos estão se aproveitando delas”, finaliza.