Un nuevo troyano bancario para Android apunta a las instituciones financieras brasileñas para cometer fraude utilizando la plataforma de pago PIX.
La empresa italiana de ciberseguridad Cleafy, que descubrió el malware entre finales de 2022 y principios de 2023, lo rastrea con el nombre de PixPirate.
“PixPirate pertenece a la última generación de troyanos bancarios para Android, ya que puede ejecutar ATS (Automatic Transfer System) y permite a los atacantes automatizar la inyección de una transferencia de dinero maliciosa a través de la plataforma de pago instantáneo Pix, que está siendo adquirida por varios bancos brasileños”, investiga. Francesco Iubatti y Alessandro Strino dijeron.
También es la última incorporación a una larga lista de malware bancario para Android que abusa de la API de servicios de accesibilidad del sistema operativo para realizar sus funciones nefastas, incluida la desactivación de Google Play Protect, la interceptación de mensajes SMS, la prevención de la desinstalación y la publicación de anuncios engañosos a través de notificaciones automáticas.
Además de robar las contraseñas ingresadas por los usuarios en las aplicaciones bancarias, los actores de amenazas detrás de la operación han utilizado la ofuscación y el cifrado de códigos utilizando un marco llamado Auto.js para resistir los esfuerzos de ingeniería inversa.
Las aplicaciones cuentagotas utilizadas para implementar PixPirate se presentan bajo la apariencia de aplicaciones de autenticación. No hay evidencia de que las aplicaciones se hayan publicado en la tienda oficial de Google Play.
Los hallazgos llegan más de un mes después de que ThreatFabric revelara detalles sobre otro malware llamado BrasDex, que también tiene capacidades ATS y abusa de PIX para transferencias de dinero fraudulentas.
“La introducción de capacidades ATS junto con marcos que admiten el desarrollo de aplicaciones móviles mediante el uso de lenguajes flexibles y más utilizados (reduciendo la curva de aprendizaje y el tiempo de desarrollo) podría conducir a un malware más sofisticado para compararlo con su estación de trabajo en el futuro -pendientes ”, dijeron los investigadores.
El desarrollo también se produce cuando Cyble arroja luz sobre un nuevo troyano de acceso remoto a Android con nombre en código Gigabud RAT, que ha estado apuntando a usuarios en Tailandia, Perú y Filipinas desde al menos julio de 2022 haciéndose pasar por una aplicación bancaria y gubernamental.
«La RAT tiene funciones avanzadas como la grabación de pantalla y el abuso de los servicios de accesibilidad para robar información bancaria», dijeron los investigadores, y señalaron que los sitios de phishing se utilizan como vector de propagación.
La compañía de ciberseguridad anunció además que los actores de amenazas detrás del mercado de la web oscura InTheBox están promocionando un catálogo de 1894 inyecciones web compatibles con varios malware bancarios de Android como Alien, Cerberus, ERMAC, Hydra y Octo.
Utilizados principalmente para recopilar credenciales y datos confidenciales, los módulos Web Inject están diseñados para destacar servicios bancarios, de pago móvil, intercambios de criptomonedas y aplicaciones de comercio electrónico móvil en Asia, Europa, Medio Oriente y América.
Pero en un giro más preocupante, las aplicaciones no autorizadas han encontrado una manera de eludir los mecanismos de defensa en la tienda de aplicaciones de Apple y Google Play para cometer una estafa de matanza de cerdos llamada CryptoRom.
La técnica implica el uso de métodos de ingeniería social, como acercarse a las víctimas a través de aplicaciones de citas como Tinder para engañarlas para que descarguen aplicaciones de inversión deshonestas con el objetivo de robar su dinero.
Las aplicaciones iOS maliciosas en cuestión son Ace Pro y MBM_BitScan, las cuales han sido eliminadas por Apple desde entonces. Google también eliminó una versión de Android de MBM_BitScan.
La firma de seguridad cibernética Sophos, que hizo el descubrimiento, dijo que las aplicaciones de iOS tenían una «técnica de omisión de revisión» que permitía a los autores de malware eludir el proceso de verificación.
«Ambas aplicaciones que encontramos usaban contenido remoto para proporcionar su funcionalidad maliciosa, contenido que probablemente estuvo oculto hasta después de que se completó la revisión de la App Store», dijo el investigador de Sophos, Jagadeesh Chandraiah.
El fraude en la matanza de cerdos se originó en China y Taiwán y desde entonces se ha extendido a nivel mundial en los últimos años, y gran parte de las operaciones se llevan a cabo fuera de las zonas económicas especiales en Laos, Myanmar y Camboya.
En noviembre de 2022, el Departamento de Justicia de EE. UU. (DoJ) anunció la eliminación de siete nombres de dominio en relación con una estafa de criptomonedas de matanza de cerdos que generó más de $ 10 millones en cinco víctimas.