Новый банковский троян PixRevolution в режиме реального времени перехватывает платежи PIX в Бразилии

В сфере мобильных угроз для финансового сектора появилась качественно новая опасность. Специалисты исследовательской группы zLabs обнаружили ранее неизвестный банковский троян для Android, который целенаправленно атакует пользователей системы мгновенных платежей PIX в Бразилии. Уникальность угрозы, получившей название PixRevolution, заключается в архитектуре, предполагающей участие активного оператора - человека или искусственного интеллекта, - который в реальном времени наблюдает за экраном жертвы и вручную вмешивается в процесс перевода в решающий момент. Эта атака демонстрирует, как технологические инновации в финансовой сфере создают новые, высокоэффективные векторы для мошенничества, против которых традиционные автоматизированные средства защиты могут оказаться бессильны.

Описание

Система PIX, запущенная Центральным банком Бразилии в 2020 году, совершила революцию в местных платежах. Она обрабатывает миллиарды транзакций ежемесячно, работает круглосуточно, а переводы завершаются за секунды. Для пользователей это невероятное удобство. Для злоумышленников же те же свойства - мгновенность и необратимость - создают идеальную мишень. После подтверждения PIX-перевода отменить его или оспорить практически невозможно: деньги безвозвратно уходят на счёт получателя. Именно эту особенность и эксплуатирует PixRevolution, будучи сконструированным для перехвата транзакции в момент её подтверждения и перенаправления средств на контролируемый злоумышленниками счёт.

Заражение происходит через многоуровневую кампанию, основанную на имперсонализации и доверии. Злоумышленники создают фиктивные страницы в Google Play Store на контролируемых ими доменах. Эти страницы являются идеальными копиями легальных списков приложений, содержат описания, рейтинги и кнопку «Установить». Однако вместо перенаправления в официальный магазин кнопка инициирует загрузку вредоносного APK-файла. Анализ показал, что в кампании используются поддельные версии приложений известных брендов: от банковского кооператива Sicredi и почтовой службы Correios до приложения для фитнеса и даже антивируса AVG. Выбор целей для имитации не случаен: такие приложения, как Expedia или Correios, миллионы бразильцев могли бы установить легитимно, что снижает бдительность.

После установки жертва видит профессионально сделанный экран онборндинга, который с помощью социальной инженерии просит включить службу доступности с названием «Revolution». Страница содержит пошаговые инструкции для разных производителей устройств (Samsung, Xiaomi, Motorola) и лживо заверяет, что разрешение нужно «только для включения функций приложения» и никакие личные данные не собираются. После предоставления этого критически важного разрешения троянец получает практически неограниченный доступ к устройству, а пользователь перенаправляется на легальный сайт Banco do Brasil, чтобы усыпить бдительность.

Механизм атаки представляет собой отлаженную последовательность из пяти актов. Сразу после активации службы доступности PixRevolution начинает прослушивать все события на устройстве, имея возможность читать любой текст на экране и имитировать нажатия. Троянец устанавливает постоянное TCP-соединение с командным сервером и активирует захват экрана в реальном времени через MediaProjection API, передавая оператору видеопоток с устройства жертвы. При этом вредоносная программа не действует вслепую, а ожидает момента. В её коде зашифрован список из более чем 80 фраз на португальском, связанных с финансовыми операциями, таких как «pix отправлен» или «перевод завершён». Когда на экране пользователя появляется совпадающий текст, троянец отправляет оператору сигнал вместе со скриншотом.

Кульминация наступает, когда оператор, наблюдающий за экраном, видит, что жертва заполняет данные для PIX-перевода. В точный момент, когда пользователь ввёл ключ получателя и собирается подтвердить операцию, оператор отправляет команду на замену. На устройстве жертвы появляется наложение с индикатором «Aguarde…» («Подождите…»), блокирующее обзор. Используя возможности службы доступности, троянец находит активное поле ввода, заменяет введённый пользователем ключ PIX на ключ злоумышленника, а затем программно имитирует нажатие кнопки подтверждения. Вся процедура занимает секунды, после чего индикатор исчезает, а пользователь видит стандартное сообщение об успешном переводе, даже не подозревая о подмене.

Исследователи zLabs в своём отчёте подчёркивают, что PixRevolution отличается от классических банковских троянов принципиально новой архитектурой, которую можно назвать «агент-в-цикле». Вместо хрупкой автоматизации, которая ломается при обновлении интерфейса банковского приложения, здесь используется человек или ИИ, способный адаптироваться к любым изменениям UI в реальном времени. Кроме того, троянец не привязан к конкретным банковским приложениям. Мониторя всю систему через службу доступности, он может атаковать любой бразильский финтех-сервис, использующий PIX. В коде обнаружены логотипы десяти крупнейших финансовых институтов страны, включая Nubank, Itaú, Banco do Brasil и цифровые платформы вроде PicPay, что указывает на широкий охват целей.

Масштаб потенциального воздействия вызывает серьёзную озабоченность. Учитывая доминирование PIX в Бразилии и миллионы ежедневных транзакций, даже невысокий процент успешных атак может привести к колоссальным финансовым потерям. Профессионализм кампании - от фальшивых магазинов приложений до отлаженной инфраструктуры командного центра - указывает на деятельность организованной преступной группы, а не одиночек. Для специалистов по информационной безопасности этот случай служит тревожным сигналом. Защита от подобных угроз требует комплексного подхода: усиления проверок приложений вне официальных магазинов, проведения регулярного обучения пользователей по основам кибергигиены с акцентом на риски предоставления прав доступа службам доступности, а также внедрения дополнительных механизмов подтверждения критических операций внутри банковских приложений, таких как задержка на несколько секунд перед финальным списанием или требование второго фактора аутентификации для указания нового получателя. Инцидент наглядно показывает, что в эпоху мгновенных и необратимых платежей киберзащита должна опережать угрозы, предвосхищая сценарии, в которых технологический прогресс может быть обращён против пользователей.