Un nuevo troyano bancario para Android ha puesto sus ojos en las instituciones financieras brasileñas para cometer fraude aprovechando la plataforma de pagos PIX.
La empresa italiana de ciberseguridad Cleafy, que descubrió el malware entre finales de 2022 y principios de 2023, lo rastrea con el nombre de PixPirate.
“PixPirate pertenece a la última generación de troyanos bancarios para Android, ya que puede realizar ATS (Sistema de transferencia automática), lo que permite a los atacantes automatizar la inserción de una transferencia de dinero maliciosa a través de la plataforma de pago instantáneo Pix, adoptada por varios bancos brasileños”, los investigadores Francesco Iubatti y Alessandro Strino dicho.
También es la última incorporación en una larga lista de malware bancario para Android que abusa de la API de servicios de accesibilidad del sistema operativo para llevar a cabo sus funciones nefastas, incluida la desactivación de Google Play Protect, la interceptación de mensajes SMS, la prevención de la desinstalación y la publicación de anuncios falsos a través de notificaciones automáticas.
Además de robar las contraseñas ingresadas por los usuarios en las aplicaciones bancarias, los actores de amenazas detrás de la operación aprovecharon la ofuscación y el cifrado del código utilizando un marco conocido como Auto.js para resistir los esfuerzos de ingeniería inversa.
Las aplicaciones cuentagotas utilizadas para entregar PixPirate vienen bajo la apariencia de aplicaciones de autenticación. No hay indicios de que las aplicaciones se hayan publicado en la tienda oficial de Google Play.
Los hallazgos llegan más de un mes después de que ThreatFabric revelara detalles de otro malware llamado BrasDex que también viene con capacidades ATS, además de abusar de PIX para realizar transferencias de fondos fraudulentas.
“La introducción de capacidades ATS junto con marcos que ayudarán al desarrollo de aplicaciones móviles, usando lenguajes flexibles y más extendidos (reduciendo la curva de aprendizaje y el tiempo de desarrollo), podría conducir a malware más sofisticado que, en el futuro, podría compararse con sus contrapartes de estaciones de trabajo”, dijeron los investigadores.
El desarrollo también se produce cuando Cyble arrojó luz sobre un nuevo troyano de acceso remoto de Android con nombre en código Gigabud RAT dirigido a usuarios en Tailandia, Perú y Filipinas desde al menos julio de 2022 haciéndose pasar por aplicaciones bancarias y gubernamentales.
“La RAT tiene características avanzadas como la grabación de pantalla y el abuso de los servicios de accesibilidad para robar credenciales bancarias”, explican los investigadores. dichoseñalando su uso de sitios de phishing como vector de distribución.
La firma de ciberseguridad aún más reveló que los actores de amenazas detrás del mercado de darknet InTheBox están anunciando un catálogo de 1894 inyecciones web que son compatibles con varios malware bancarios de Android como Alien, Cerberus, ERMAC, Hydra y Octo.
Los módulos de inyección web, que se utilizan principalmente para recopilar credenciales y datos confidenciales, están diseñados para destacar aplicaciones bancarias, de pago móvil, de intercambio de criptomonedas y de comercio electrónico móvil que abarcan Asia, Europa, Medio Oriente y las Américas.
Pero en un giro más preocupante, las aplicaciones fraudulentas han encontrado una manera de eludir las defensas en Apple App Store y Google Play para perpetrar lo que se conoce como una estafa de matanza de cerdos llamada CryptoRom.
La técnica implica el empleo de métodos de ingeniería social, como acercarse a las víctimas a través de aplicaciones de citas como Tinder para tentarlas a descargar aplicaciones de inversión fraudulentas con el objetivo de robar su dinero.
Las aplicaciones iOS maliciosas en cuestión son Ace Pro y MBM_BitScan, las cuales han sido eliminadas por Apple desde entonces. Google también eliminó una versión de Android de MBM_BitScan.
La firma de seguridad cibernética Sophos, que hizo el descubrimiento, dijo que las aplicaciones de iOS presentaban una “técnica de evasión de revisión” que permitía a los autores de malware superar el proceso de investigación.
“Ambas aplicaciones que encontramos usaban contenido remoto para proporcionar su funcionalidad maliciosa, contenido que probablemente estuvo oculto hasta después de que se completó la revisión de la App Store”, dijo el investigador de Sophos, Jagadeesh Chandraiah. dicho.
Las estafas de matanza de cerdos tuvieron sus inicios en China y Taiwán, y desde entonces se han expandido a nivel mundial en los últimos años, con un gran parte de las operaciones llevado a cabo desde zonas económicas especiales en Laos, Myanmar y Camboya.
En noviembre de 2022, el Departamento de Justicia de EE. UU. (DoJ) anunció la eliminación de siete nombres de dominio en relación con una estafa de criptomonedas de matanza de cerdos que les reportó a los actores criminales más de $ 10 millones de cinco víctimas.