9月末，研究人員在谷歌應用商店發(fā)現(xiàn)了一系列針對Pix支付系統(tǒng)和巴西銀行的惡意軟件，其中一個版本可以直接竊取目標錢包，研究人員將其命名為PixStealer。

新冠加速了銀行業(yè)數(shù)字化進程，在此期間最成功的例子之一是Pix，一項巴西中央銀行創(chuàng)建的即時支付解決方案。

Pix于2020年11月發(fā)布，現(xiàn)在每天的交易量已達到4000萬筆，每周交易總額達到了47億美元，但同時，黑客也盯上了Pix支付。

[[432276]]

PixStealer技術(shù)分析

PixStealer惡意軟件的內(nèi)部名稱是Pag Cashback 1.4。該軟件在谷歌應用商店上偽裝成PagBank Cashback進行傳播。包名為com.pagcashback.beta，表示應用程序可能仍處于測試階段。

PixStealer非常小，只具有最低權(quán)限，沒有與C&C連接，它只有一個功能：將受害者的所有資金轉(zhuǎn)移到攻擊者控制的帳戶。因此，惡意軟件無法通過C&C更新，也無法竊取和上傳受害者信息，但卻可以保持不被發(fā)現(xiàn)。

PixStealer同樣適用安卓的可訪問性服務。AAS的主要目的是幫助殘疾用戶更方便地適用安卓設備和應用。當惡意軟件誘使目標啟用該服務時，應用程序能夠讀取用戶的任何可讀取內(nèi)容，并執(zhí)行用戶可執(zhí)行的任何操作。

惡意軟件會向受害者發(fā)送消息，要求激活可訪問性服務，獲取所謂的“現(xiàn)金返還”功能，該服務名為com.gservice.autobot.Acessibilidade，如下圖：

授權(quán)可訪問性服務后，惡意軟件顯示信息的同時調(diào)用并打開PagBank進行同步。受害者打開銀行帳戶并輸入憑據(jù)后，惡意軟件會通過訪問權(quán)限單擊“顯示”(下圖眼睛圖標)按鈕來查詢受害者的當前余額。

查詢結(jié)果保存在valor中：

隨后惡意軟件會顯示假的覆蓋圖，要求用戶等待同步完成：

覆蓋屏幕起著非常重要的作用：在此期間惡意軟件在后臺將所有資金轉(zhuǎn)移到黑客控制的帳戶。

PagBank需要在用戶執(zhí)行Pix支付前進行身份驗證，確保該設備屬于銀行賬戶的所有者，并要求用戶執(zhí)行以下驗證：

• 雙因素身份驗證(憑據(jù)和SMS)
• 上傳身份確認文件
• 使用攝像頭拍攝用戶。
• 但PixStealer是在通過身份驗證階段才開始運行，繞過了所有檢查。

同家族惡意軟件MalRhino

不與C&C通信的獨立惡意軟件是很難被檢測到，在研究過程中發(fā)現(xiàn)一個與PixStealer具有高度同源性的惡意軟件：MalRhino，與前者具有相似的mainfest、日志信息、服務和方法名。

PixStealer中的日志信息

MalRhino 中的日志信息

該惡意軟件假冒巴西國際銀行，使用Rhino框架，軟件包名為com.gnservice.beta，也通過谷歌應用商店傳播，運行前同樣需要用戶授予權(quán)限。