Chama-se PixPirate e foi identificado pela primeira vez pelos especialistas da Cleafy, entre o final de 2022 e o início de 2023. Desde então este malware para Android continua a evoluir e, como alertam os investigadores da IBM, encontrou uma nova forma para se tornar “invisível”.

Os investigadores explicam que o PixPirate é um trojan bancário de acesso remoto (RAT) sofisticado. O nome deriva do principal “alvo” das suas campanhas, a plataforma brasileira de pagamentos Pix. Até à data, os casos observados pelos especialistas envolvem bancos no Brasil, mas tal não quer dizer que a ameaça não possa ser modificada para afetar outros países.

A maioria dos softwares maliciosos bancários optam por camuflar a sua existência nos equipamentos das vítimas ao esconderem os seus ícones. No entanto, a partir do Android 10, esta técnica deixou de funcionar devido às medidas de segurança implementadas pela Google.

Para contornar estas medidas, o PixPirate recorre a uma nova técnica para esconder o seu ícone, mas também para assegurar que as vítimas não se apercebem das atividades maliciosas que estão a ser realizadas em segundo plano.

Ataques de phishing voltam a aumentar e registam subida de 40% em 2023
Ataques de phishing voltam a aumentar e registam subida de 40% em 2023
Ver artigo

O malware é capaz de monitorizar as atividades realizadas pelas vítimas e de roubar as suas credenciais bancárias e outros dados sensíveis. Há também a possibilidade de aceder a SMS das vítimas e até de editar e apagar mensagens, incluindo aquelas que são enviadas pelas entidades bancárias.

A lista de capacidades maliciosas do PixPirate é extensa e inclui, por exemplo, manipulação e controlo de aplicações; acesso a contas registadas no smartphone, à lista de contactos e à localização; keylogging; e desativação dos serviços Google Play Protect.

As mensagens fraudulentas através do WhatsApp ou SMS, com links maliciosos, são a principal forma de disseminação deste malware. Através de táticas de engenharia social, as mensagens convencem as vítimas a clicar no link para descarregarem um downloader, que imita a imagem de uma app de autenticação legítima e associada a um banco.

PixPirate | Como funciona a disseminação deste malware?
créditos: IBM

Uma vez aberto, o downloader pede seja instalada uma atualização, que é, na verdade, o malware em si. O software malicioso é depois ativado e executado, pedido à vítima que conceda as permissões necessárias para poder dar início às suas atividades.

Em declarações à imprensa internacional, um porta-voz da Google afirma que, até à data, ainda não foram encontradas aplicações que contêm este malware na Play Store.

A empresa afirma também que os utilizadores do sistema operativo Android estão “automaticamente protegidos contra versões conhecidas deste malware através do Google Play Protect, que é ativado por predefinição nos dispositivos Android com serviços Google Play”.