当心：网络犯罪分子针对巴西银行用户推出新的BrasDex Android木马

Windows银行恶意软件背后的威胁行为者卡斯巴内罗被认为是一个名为制动器dex作为正在进行的多平台宣传活动的一部分，已经观察到以巴西用户为目标。

ThreatFabric在上周发布的一份报告中表示，BrasDex拥有一个“复杂的密钥记录系统，旨在滥用Accessibility Services，专门从一组巴西目标应用程序中提取凭据，以及一个功能强大的自动传输系统（ATS）引擎”。

这家荷兰安全公司表示，与BrasDex一起使用的指挥和控制（C2）基础设施也被用于控制Casbaneiro，Casbaneilo已知会打击巴西和墨西哥的银行和加密货币服务。

据估计，Android和Windows混合恶意软件活动迄今已导致数千人感染。

BrasDex伪装成桑坦德银行（Banco Santander）的银行应用程序，也是一种新趋势的象征，该趋势涉及滥用Android的无障碍API来记录受害者输入的键击，摆脱了传统的叠加攻击来窃取凭证和其他个人数据的方法。

它还被设计为捕获账户余额信息，随后使用它接管受感染的设备并以编程方式发起欺诈交易。

BrasDex的另一个值得注意的方面是其对PIX支付平台的独特关注，该平台允许巴西的银行客户仅使用其电子邮件地址或电话号码进行转账。

BrasDex的ATS系统显然旨在滥用PIX技术进行欺诈性转账。

这不是即时支付生态系统第一次被坏人盯上。2021 9月，Check Point详细介绍了两个名为PixStealer和MalRhino的Android恶意软件家族，他们诱骗用户将其整个账户余额转移到演员控制的账户中。

ThreatFabric对BrasDex的调查还使其能够访问犯罪运营商用来跟踪受感染设备的C2面板，并检索从Android手机中过滤出的数据日志。

碰巧，C2面板也被用来监视一个不同的恶意软件活动，该活动会危及Windows机器部署Casbaneiro，一个基于Delphi的金融木马。

这一攻击链使用了以包裹投递为主题的网络钓鱼诱饵，这些诱饵据称来自国有邮政服务公司Correios，通过多阶段流程欺骗收件人执行恶意软件。

Casbaneiro的功能具有典型的后门功能，允许它获取银行账户的控制权、截屏、执行键盘记录、劫持剪贴板数据，甚至可以作为一个剪切恶意软件来劫持加密交易。

ThreatFabric表示：“BrasDex和Casbaneiro是一个独立的、成熟的恶意软件家族，它们构成了一对非常危险的组合，使得幕后操纵者能够大规模地针对Android和Windows用户”。

“BrasDex案表明，必须在客户设备上建立欺诈检测和预防机制：在ATS引擎的帮助下自动进行的欺诈付款对银行后端和欺诈评分引擎来说似乎是合法的，因为它们是通过客户通常使用的同一设备进行的”。