9月末，研究人員在谷歌應(yīng)用商店發(fā)現(xiàn)了一系列針對Pix支付系統(tǒng)和巴西銀行的惡意軟件，其中一個版本可以直接竊取目標(biāo)錢包，研究人員將其命名為PixStealer。

新冠加速了銀行業(yè)數(shù)字化進(jìn)程，在此期間最成功的例子之一是Pix，一項(xiàng)巴西中央銀行創(chuàng)建的即時(shí)支付解決方案。

Pix于2020年11月發(fā)布，現(xiàn)在每天的交易量已達(dá)到4000萬筆，每周交易總額達(dá)到了47億美元，但同時(shí)，黑客也盯上了Pix支付。

[[432276]]

PixStealer技術(shù)分析

PixStealer惡意軟件的內(nèi)部名稱是Pag Cashback 1.4。該軟件在谷歌應(yīng)用商店上偽裝成PagBank Cashback進(jìn)行傳播。包名為com.pagcashback.beta，表示應(yīng)用程序可能仍處于測試階段。

PixStealer非常小，只具有最低權(quán)限，沒有與C&C連接，它只有一個功能：將受害者的所有資金轉(zhuǎn)移到攻擊者控制的帳戶。因此，惡意軟件無法通過C&C更新，也無法竊取和上傳受害者信息，但卻可以保持不被發(fā)現(xiàn)。

PixStealer同樣適用安卓的可訪問性服務(wù)。AAS的主要目的是幫助殘疾用戶更方便地適用安卓設(shè)備和應(yīng)用。當(dāng)惡意軟件誘使目標(biāo)啟用該服務(wù)時(shí)，應(yīng)用程序能夠讀取用戶的任何可讀取內(nèi)容，并執(zhí)行用戶可執(zhí)行的任何操作。

惡意軟件會向受害者發(fā)送消息，要求激活可訪問性服務(wù)，獲取所謂的“現(xiàn)金返還”功能，該服務(wù)名為com.gservice.autobot.Acessibilidade，如下圖：

授權(quán)可訪問性服務(wù)后，惡意軟件顯示信息的同時(shí)調(diào)用并打開PagBank進(jìn)行同步。受害者打開銀行帳戶并輸入憑據(jù)后，惡意軟件會通過訪問權(quán)限單擊“顯示”(下圖眼睛圖標(biāo))按鈕來查詢受害者的當(dāng)前余額。

查詢結(jié)果保存在valor中：

隨后惡意軟件會顯示假的覆蓋圖，要求用戶等待同步完成：

覆蓋屏幕起著非常重要的作用：在此期間惡意軟件在后臺將所有資金轉(zhuǎn)移到黑客控制的帳戶。

PagBank需要在用戶執(zhí)行Pix支付前進(jìn)行身份驗(yàn)證，確保該設(shè)備屬于銀行賬戶的所有者，并要求用戶執(zhí)行以下驗(yàn)證：

• 雙因素身份驗(yàn)證(憑據(jù)和SMS)
• 上傳身份確認(rèn)文件
• 使用攝像頭拍攝用戶。
• 但PixStealer是在通過身份驗(yàn)證階段才開始運(yùn)行，繞過了所有檢查。

同家族惡意軟件MalRhino

不與C&C通信的獨(dú)立惡意軟件是很難被檢測到，在研究過程中發(fā)現(xiàn)一個與PixStealer具有高度同源性的惡意軟件：MalRhino，與前者具有相似的mainfest、日志信息、服務(wù)和方法名。

PixStealer中的日志信息

MalRhino 中的日志信息

該惡意軟件假冒巴西國際銀行，使用Rhino框架，軟件包名為com.gnservice.beta，也通過谷歌應(yīng)用商店傳播，運(yùn)行前同樣需要用戶授予權(quán)限。