Der Infektionsweg von PixRevolution beginnt mit Täuschung und Social Engineering. Die Hintermänner der Kampagne richteten gefälschte Seiten des Google Play Store auf eigenen Domains ein und gaben sich als vertrauenswürdige Marken wie Expedia oder lokale Dienste wie die Post aus. Yaswant beschreibt diese Seiten als “perfekte Nachbildungen”. Wer dort eine vermeintliche App aus dem offiziellen Play Store herunterladen will, erhält stattdessen eine schädliche APK-Datei.
Diese Datei registriert eine neue Android-Bedienungshilfe namens “Enable Revolution”, die jedoch keine legitime Funktion ist. Beim Start fordert die App den Nutzer auf, die Bedienungshilfe angeblich aus Gründen der App-Funktionalität zu aktivieren – ausdrücklich nicht zur Datenerfassung. Sobald das geschieht, übernimmt der Trojaner das Gerät vollständig. Er erhält Zugriff auf Tippeingaben, Wischgesten, sämtlichen auf dem Bildschirm angezeigten Text sowie alle Audiosignale, die das Mikrofon erreichen.
Zusätzlich baut die Malware über Port 9000 eine Verbindung zu einem Command-and-Control-Server auf und ermöglicht dem Betreiber eine nahezu verzögerungsfreie Bildschirmübertragung in Echtzeit. So sieht der Angreifer genau, was auf dem Gerät geschieht, und kann eine Banküberweisung im Moment ihrer Ausführung kapern. Dabei gleicht die Schadsoftware jeden neu auf dem Bildschirm erscheinenden Text mit einer Liste von mehr als 80 portugiesischen Begriffen für Überweisungen und Finanztransaktionen ab.
Im Augenblick der Zahlung blendet der Angreifer ein HTML-Overlay mit der Aufforderung zu warten ein (“Aguarde…”), während im Hintergrund die Umleitung stattfindet. Aus Sicht des Opfers dauert dieser letzte Schritt nur wenige Sekunden.
Laut Yaswant umgeht diese Schadsoftware das übliche Wettrüsten zwischen automatisierten Trojanern und den Schutzmechanismen von Banking-Apps. Sie müsse nicht die Benutzeroberfläche jeder einzelnen Bank rückentwickeln, keine Liste der Zielanwendungen pflegen und nicht erraten, wann eine Transaktion stattfindet: “Sie beobachtet einfach und handelt dann.”
Kern Smith, VP of Global Solutions Engineering bei Zimperium, erklärt gegenüber Dark Reading, Brasilien sei für Angreifer attraktiv, weil das Land über eines der weltweit fortschrittlichsten Mobile-Banking-Ökosysteme verfüge. Viele Nutzer wickelten alltägliche Bankgeschäfte und Zahlungen über mobile Apps ab, was eine wertvolle Angriffsfläche schaffe. Regionale Cybercrime-Gruppen hätten sich zudem seit Jahren auf Banking-Malware spezialisiert und ihre Techniken an mobile Geräte angepasst.
Um Schadsoftware wie PixRevolution zu begegnen, müssten Organisationen laut Smith erkennen, dass viele dieser Angriffe inzwischen direkt auf dem mobilen Gerät selbst ihren Ursprung hätten. Kompromittiere Malware das Gerät, könnten Angreifer Authentifizierungscodes abfangen oder legitime Banking-Sitzungen manipulieren, während sie als echter Nutzer erschienen. Finanzinstitute sollten daher die Sichtbarkeit mobiler Bedrohungen in ihre Betrugserkennung und Authentifizierungsabläufe einbeziehen, um kompromittierte Geräte vor betrügerischen Transaktionen zu erkennen.
