ブラジルの即時送金をハイジャックすることができ、同国で最も広く使われている金融システムの1つを標的とする新たに特定されたAndroidバンキング型トロイの木馬が、セキュリティ研究者により発見されました。
PixRevolutionとして知られるこのマルウェアは、被害者のスマートフォンを静かに監視し、PIX取引中に資金をリダイレクトします。これはモバイルセキュリティ企業Zimperiumの新しい分析によるものです。
ブラジル中央銀行により2020年に導入されたブラジルのPIXプラットフォームは、数秒以内に決済される即座支払いが可能です。このシステムは国の金融環境を変えており、76%以上のブラジル人が使用しており、毎月30億を超える取引が処理されています。
研究者らは、PixRevolutionはそれらの送金の速度と不可逆性を悪用していると述べています。PIX支払いが完了すると、それは取り消すことができず、金融サイバー犯罪の魅力的な標的となります。
リアルタイム送金ハイジャック
トロイの木馬は、PIX取引が開始されるまで被害者のデバイス上に隠れたままです。ユーザーが受取人の支払いキーを入力して送金を確認すると、マルウェアは「Aguarde…」(ポルトガル語で「お待ちください」)と表示される読み込み画面を一時的に表示します。
しかし、舞台裏では、マルウェアは受取人のキーを攻撃者が管理するものに置き換えます。取引は通常通り完了し、被害者は資金がリダイレクトされたことに気付きません。
自動スクリプトに依存する多くのバンキング型トロイの木馬と異なり、PixRevolutionは研究者が「エージェント・イン・ザ・ループ」モデルと呼ぶものを使用しています。リモートオペレーターが被害者の電話画面をほぼリアルタイムで監視し、支払いが処理される正確な瞬間に介入します。
金融サイバー犯罪についてもっと読む:認可プッシュ支払い詐欺はUKの国家安全保障リスク、報告書が判明
Zimperiumは、マルウェアはいくつかの調整された技術に依存していると述べています:
-
Androidアクセシビリティ権限を通じた継続的監視
-
攻撃者が管理するコマンドサーバーへのライブ画面ストリーミング
-
金融取引を特定するためのキーワード検出
-
支払い詳細が置き換えられる瞬間を隠すフェイク読み込みオーバーレイ
全体的な操作は数秒しかかからず、異常が発生したことを示す痕跡をほぼ残しません。
マルウェア拡散に使用される偽アプリ
Zimperiumは警告しており、キャンペーンは公式Google Playストアに似ているように設計された詐欺的なダウンロードページを通じて拡散していることを述べています。これらのサイトは実際のアプリリストを模倣し、説明、評価、インストールボタンが完全に揃っています。本物のストアにリダイレクトする代わりに、ボタンは悪意のあるAndroidファイルをダウンロードします。
研究者は、旅行プラットフォーム、郵便サービス、投資アプリ、アンチウイルスソフトウェアなど、よく知られたブラジルのサービスになりすましている複数のサンプルを特定しました。
インストール後、ユーザーは「Revolution」と呼ばれるアクセシビリティサービスを有効にするよう求められます。オンボーディングページは、アプリ機能を有効化するために権限が必要であると主張し、個人情報は収集されないことをユーザーに保証しています。
ただし、許可されると、トロイの木馬はスクリーン内容を読む能力とタップをシミュレートする能力を含む、デバイスへの広範なアクセスを獲得します。
ブラジルに150百万人以上のPIXユーザーと毎月数十億の取引があり、研究者はPixRevolutionのような攻撃の成功率がわずかであっても、重大な金銭的損失につながる可能性があると警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/pixrevolution-malware-brazils-pix/
