PixRevolution zielt nach Angaben von Zimperium auf das brasilianische Echtzeit-Zahlungssystem Pix und kapert Überweisungen der Opfer in Echtzeit. Sicherheitsforscher Aazim Yaswant beschreibt das Vorgehen so: Die Schadsoftware bleibt unauffällig, bis das Opfer eine Pix-Überweisung anstößt. Anders als bei klassischen Banking-Trojanern sei am anderen Ende ein menschlicher oder KI-gestützter Operator aktiv beteiligt, der den Bildschirm des Opfers in Echtzeit beobachtet und im richtigen Moment eingreift.
Die Verbreitung erfolgt über gefälschte Play-Store-Seiten für Apps wie Expedia, Sicredi und Correios, die zum Download einer schädlichen Dropper-APK verleiten. Nach der Installation drängen die Apps zur Aktivierung der Bedienungshilfen. PixRevolution verbindet sich per TCP über Port 9000 mit einem externen Server, sendet Statusmeldungen mit Geräteinformationen und aktiviert über Androids MediaProjection-Schnittstelle eine Bildschirmaufzeichnung. Sobald das Opfer Betrag und Pix-Schlüssel des Empfängers eingibt, blendet der Trojaner ein gefälschtes WebView-Overlay mit dem Hinweis „Aguarde…" („Warten") ein und tauscht im Hintergrund den Pix-Schlüssel gegen den des Angreifers aus. Da Pix-Überweisungen sofort und endgültig sind, sei eine Rückholung laut Yaswant außerordentlich schwierig.
Ebenfalls gegen brasilianische Nutzer richtet sich BeatBanker, das laut Kaspersky überwiegend per Phishing über eine als Play Store getarnte Website verbreitet wird. Den Namen verdankt es einer ungewöhnlichen Persistenz: Eine kaum hörbare Audiodatei mit chinesischen Wörtern läuft in einer Schleife, um die Beendigung des Prozesses zu verhindern. Die APKs enthalten unter anderem einen Monero-Miner und einen Banking-Trojaner; bei USDT-Transaktionen erzeugt BeatBanker Overlay-Seiten für Binance und Trust Wallet und ersetzt verdeckt die Zieladresse. Zur Steuerung dient Googles Firebase Cloud Messaging. Neuere Varianten liefern statt des Banking-Moduls den BTMOB RAT aus, den Kaspersky als Weiterentwicklung von CraxsRAT, CypherRAT und SpySolr einstuft – Familien, die mit einem syrischen Akteur unter dem Alias EVLF verknüpft werden.
TaxiSpy RAT missbraucht ähnlich wie PixRevolution Bedienungshilfen und MediaProjection, um SMS, Kontakte, Anruflisten, Zwischenablage, Benachrichtigungen, PINs und Tastatureingaben zu sammeln; Ziel sind russische Bank-, Krypto- und Behörden-Apps. Proben wurden sowohl von CYFIRMA als auch von Zimperium gefunden. Laut CYFIRMA setzt die Malware auf Verschlüsselung nativer Bibliotheken, rollierende XOR-Verschleierung und VNC-ähnliche Fernsteuerung über WebSocket.
Mirax wird von einem Akteur namens Mirax Bot als private Malware-as-a-Service angeboten – 2.500 US-Dollar monatlich für die Vollversion, 1.750 für eine abgespeckte Variante – und verspricht Banking-Overlays, Datensammlung und einen SOCKS5-Proxy. Oblivion kostet rund 300 US-Dollar pro Monat und vergibt Berechtigungen laut Verkäufer automatisch und ohne Zutun des Opfers über MIUI/HyperOS, One UI, ColorOS, MagicOS und OxygenOS. Certos wertet besonders die Kombination aus automatischem Umgehen von Berechtigungen, versteckter Fernsteuerung und einem Baukasten per Mausklick als ernsthafte Herausforderung für plattformseitige Schutzmechanismen.
SURXRAT schließlich wird über ein Telegram-basiertes Ökosystem vertrieben und gilt laut Cyble als verbesserte Version von Arsink, gesteuert über eine Firebase-Infrastruktur. Einige Proben enthalten eine Komponente für große Sprachmodelle, deren Modul aber nur bei bestimmten Gaming-Apps oder dynamisch übermittelten Zielpaketen nachgeladen wird. Andere SURXRAT-Proben bringen einen Bildschirmsperr-Modul nach Art von Ransomware mit, das den Zugriff bis zu einer Zahlung blockiert. Vermarktet wird die Malware über einen von einem indonesischen Akteur betriebenen Telegram-Kanal.
