Chama-se PixPirate e foi identificado pela primeira vez pelos especialistas da Cleafy, entre o final de 2022 e o início de 2023. Desde então este malware para Android continua a evoluir e, como alertam os investigadores da IBM, encontrou uma nova forma para se tornar “invisível”.
Os investigadores explicam que o PixPirate é um trojan bancário de acesso remoto (RAT) sofisticado. O nome deriva do principal “alvo” das suas campanhas, a plataforma brasileira de pagamentos Pix. Até à data, os casos observados pelos especialistas envolvem bancos no Brasil, mas tal não quer dizer que a ameaça não possa ser modificada para afetar outros países.
A maioria dos softwares maliciosos bancários optam por camuflar a sua existência nos equipamentos das vítimas ao esconderem os seus ícones. No entanto, a partir do Android 10, esta técnica deixou de funcionar devido às medidas de segurança implementadas pela Google.
Para contornar estas medidas, o PixPirate recorre a uma nova técnica para esconder o seu ícone, mas também para assegurar que as vítimas não se apercebem das atividades maliciosas que estão a ser realizadas em segundo plano.
O malware é capaz de monitorizar as atividades realizadas pelas vítimas e de roubar as suas credenciais bancárias e outros dados sensíveis. Há também a possibilidade de aceder a SMS das vítimas e até de editar e apagar mensagens, incluindo aquelas que são enviadas pelas entidades bancárias.
A lista de capacidades maliciosas do PixPirate é extensa e inclui, por exemplo, manipulação e controlo de aplicações; acesso a contas registadas no smartphone, à lista de contactos e à localização; keylogging; e desativação dos serviços Google Play Protect.
As mensagens fraudulentas através do WhatsApp ou SMS, com links maliciosos, são a principal forma de disseminação deste malware. Através de táticas de engenharia social, as mensagens convencem as vítimas a clicar no link para descarregarem um downloader, que imita a imagem de uma app de autenticação legítima e associada a um banco.
Uma vez aberto, o downloader pede seja instalada uma atualização, que é, na verdade, o malware em si. O software malicioso é depois ativado e executado, pedido à vítima que conceda as permissões necessárias para poder dar início às suas atividades.
Em declarações à imprensa internacional, um porta-voz da Google afirma que, até à data, ainda não foram encontradas aplicações que contêm este malware na Play Store.
A empresa afirma também que os utilizadores do sistema operativo Android estão “automaticamente protegidos contra versões conhecidas deste malware através do Google Play Protect, que é ativado por predefinição nos dispositivos Android com serviços Google Play”.
Pergunta do Dia
Em destaque
-
Multimédia
Missão Ariel da ESA quer explorar 1.000 exoplanetas e Portugal ajuda com engenharia e ciência -
App do dia
Wayther: uma nova app de previsões meteorológicas detalhadas para otimizar viagens -
Site do dia
Tetr.io é uma versão competitiva de Tetris e os adversários não dão tréguas -
How to TEK
Farto de reagir no WhatsApp com emojis? Crie os seus próprios stickers
Comentários