Die Sicherheitsgemeinschaft beobachtet mit Besorgnis eine neue Generation von Mobile-Banking-Malware, die traditionelle automatisierte Trojaner-Techniken mit manuellen Operatoreingriffen kombiniert. PixRevolution markiert dabei einen qualitativen Sprung in der Angriffssophistikation.
Das Malware-Ökosystem in Südamerikas größtem Land ist bereits durch zahlreiche Banking-Trojaner wie Maverick geprägt, der 2024 entdeckt wurde. PixRevolution unterscheidet sich jedoch grundlegend durch seinen hybriden Ansatz: Das Malware-Programm kombiniert automatisierte Geräteübernahme mit echter menschlicher oder KI-gestützter Beobachtung im Moment der Transaktion.
Infektionsvektoren und Geräteübernahme
Die Bedrohungsakteure nutzen ausgefeilte Social-Engineering-Techniken. Sie erstellen täuschend echte Nachbildungen von Google-Play-Store-Seiten auf ihren eigenen Servern, die als vertrauenswürdige Marken wie Expedia oder lokale Dienste wie die brasilianische Post getarnt sind. Nutzer, die diese Seiten finden, erhalten statt des echten Apps eine manipulierte APK-Datei.
Einmal installiert, registriert sich der Trojaner unter dem Namen „Enable Revolution” als Android-Accessibility-Option. Die Malware täuscht dem Benutzer vor, diese Funktion sei für die Anwendungsfunktionalität notwendig. In Wahrheit erhält der Trojaner damit vollständige Kontrolle über das Gerät: Zugriff auf alle Berührungseingaben, Wischgesten, auf-dem-Bildschirm angezeigte Texte und Audiodaten des Mikrofons.
Echtzeit-Hijacking mit manueller Intervention
Was PixRevolution besonders gefährlich macht, ist die Echtzeit-Komponente. Das Malware-Programm stellt eine Verbindung zu einem Command-and-Control-Server über Port 9000 her und bietet den Operateuren eine Live-Bildschirmerfassung mit minimaler Verzögerung. Im kritischen Moment, wenn das Opfer eine Zahlung versendet, wird ein HTML-Overlay mit der Meldung „Aguarde…” (Bitte warten…) eingeblendet. Während der Nutzer wartet, leitet der Angreifer die Transaktion um – der gesamte Prozess dauert Sekunden.
Das System ist bemerkenswert präzise: Die Malware verfügt über eine Liste mit über 80 portugiesischen Begriffen, die sich auf Banküberwisungen beziehen, und scannt kontinuierlich nach diesen Texten auf dem Bildschirm.
Implikationen für globale Sicherheit
Experten warnen, dass dieser Angriffsstil die traditionelle Sicherheitsarchitektur zwischen Banking-Apps und Malware-Abwehr umgeht. Der Trojaner muss nicht die Benutzeroberfläche jeder Bank analysieren oder eine Liste von Zielanwendungen führen – er beobachtet einfach und handelt.
Finanzinstitute sollten laut Zimperium-Experten mobile Threat-Visibility in ihre Betrugserkennung integrieren und kompromittierte Geräte vor Transaktionen identifizieren. Für die deutschen Finanzsektor ist dies ein Warnsignal, dass mobile Banking-Sicherheit neu bewertet werden muss.