黑客以巴西的PIX支付系统为目标，窃取用户的银行账户

谷歌Play Store上新发现的两个恶意安卓应用程序被用于针对巴西即时支付生态系统的用户，可能是为了诱使受害者欺诈性地将其整个账户余额转移到网络犯罪分子控制下的另一个银行账户。

“攻击者分发了两种不同的银行恶意软件，名为皮克斯特勒和马尔犀牛，通过两个单独的恶意应用程序[…；]Check Point Research在与《黑客新闻》分享的分析中说这两个恶意应用程序都旨在通过用户交互和原始PIX应用程序窃取受害者的金钱。"

这两个在2021年4月被发现的应用程序已经从应用商店中被移除。

Pix是巴西货币管理局巴西中央银行于2020年11月推出的一个国有支付平台，它使消费者和企业能够从银行账户转账，而无需借记卡或信用卡。

PixStealer在Google Play上被发现是一款伪造的PagBank现金返还服务应用，其目的是将受害者的资金清空到一个由演员控制的账户，而MalRhino—；伪装成巴西国际银行的移动代币应用—；具有收集已安装应用列表和检索特定银行PIN所需的高级功能。

研究人员说：“当用户打开他们的PIX银行应用程序时，Pixstealer会向受害者显示一个覆盖窗口，用户无法看到攻击者的移动。”。“在覆盖窗口后面，攻击者检索可用金额，并将资金（通常是整个帐户余额）转移到另一个帐户。”

PixStealer和MalRhino的共同之处在于，这两款应用都滥用Android的易访问性服务，在受损设备上执行恶意操作，使它们成为一长串利用许可实施数据盗窃的移动恶意软件中的最新成员。

具体来说，当恶意软件在后台搜索“传输”按钮以借助可访问性API执行交易时，假覆盖劫持整个屏幕，显示一条消息“同步您的访问…不要关闭您的移动屏幕”。

MalRhino变体还因其使用Mozilla基于Java的Rhino JS框架在目标银行应用程序中运行JavaScript命令而脱颖而出，但前提是说服用户打开可访问性服务。

研究人员说：“这项技术在移动恶意软件上并不常用，它显示了恶意行为人如何不断创新，以避免被发现并进入Google Play。”。“随着手机银行恶意软件越来越多地滥用无障碍服务，用户应该警惕启用相关权限，即使在通过已知应用商店（如Google Play）分发的应用程序中也是如此。”