O Malware PixPirate utiliza o WhatsApp para Enganar Usuários e Roubar Dados Financeiros

O malware PixPirate, que se espalha via WhatsApp, tem como alvo aplicativos financeiros no Brasil, Índia, Itália e México, roubando dados e permanecendo oculto.

Uma nova onda de malware conhecido como PixPirate está se espalhando rapidamente, com foco principalmente nos usuários bancários no Brasil e na Índia, e seu alcance se estendendo até a Itália e o México.

Pesquisadores de segurança do Trusteer Lab identificaram essa ameaça, destacando suas técnicas sofisticadas que enganam os usuários fazendo-os baixar aplicativos maliciosos disfarçados de ferramentas financeiras legítimas, conforme relatado por Security Intelligence.

PixPirate consiste em dois componentes principais: um baixador e um dropper (chamado de droppee). O baixador finge ser um aplicativo de autenticação projetado para proteger contas bancárias. Uma vez instalado, ele não apenas executa o dropper malicioso, mas também gerencia ativamente suas operações, permitindo fraudes financeiras.

Este aplicativo não está disponível em plataformas oficiais como a Google Play Store. Em vez disso, ele se espalha através de mensagens de phishing enviadas por SMS (conhecido como smishing) ou spam do WhatsApp de usuários infectados.

Uma vez que o downloader é instalado, ele engana os usuários para conceder permissões alegando que uma “atualização” é necessária. Na realidade, esse processo instala o malware dropper no dispositivo da vítima. O dropper permanece oculto, sem ícone exibido na tela inicial, tornando a detecção difícil para os usuários.

Inicialmente identificado no Brasil, o PixPirate tem como alvo principal o sistema de pagamentos Pix, amplamente utilizado em aplicativos bancários brasileiros. O Trusteer Lab reporta que cerca de 70% das infecções estão no Brasil.

No entanto, 20% dos casos foram identificados na Índia, onde o malware parece estar se preparando para atacar a plataforma United Payments Interface (UPI) do país, que facilita pagamentos instantâneos para milhões de usuários.

Infecções também começaram a aparecer na Itália e no México, sugerindo que os atacantes pretendem expandir suas operações globalmente. Os desenvolvedores do malware usam ferramentas como vídeos instrucionais no YouTube para orientar as vítimas sobre como conceder permissões, auxiliando ainda mais em sua propagação.

Um recurso único do PixPirate é sua integração com o WhatsApp para enviar mensagens de phishing de dispositivos infectados. Ao acessar as listas de contatos das vítimas, ele se espalha enviando mensagens que parecem vir de fontes confiáveis, explorando a sensação de segurança do destinatário.

Durante essa atividade, o PixPirate usa uma sobreposição para esconder suas operações do usuário, garantindo que a vítima permaneça inconsciente. A Security Intelligence observa que o PixPirate emprega métodos sofisticados, incluindo acesso remoto, interceptação de SMS e capacidades anti-remoção.

Ele até usa os serviços de acessibilidade do Android para imitar a interação humana, como clicar em botões para enviar mensagens no WhatsApp. Esses recursos permitem que o malware execute fraudes automaticamente e de maneira furtiva.

A retomada da PixPirate destaca a crescente sofisticação das operações de cibercriminosos que visam plataformas de mobile banking em todo o mundo. É aconselhado aos usuários que evitem baixar aplicativos de fontes desconhecidas, analisem cuidadosamente mensagens inesperadas e usem medidas fortes de cibersegurança para proteger seus dispositivos.