MtoM Mag - Le journal de l'MtoM.

Une nouvelle recherche de ZLabs met en lumière un malware mobile piloté par un opérateur, capable d’intercepter silencieusement les transactions de paiement instantané et de rediriger les fonds vers des comptes de cybercriminels

ZLabs, la division de recherche de Zimperium, leader mondial de la sécurité mobile basée sur l’IA, révèle l’existence de PixRevolution, un cheval de Troie bancaire Android sophistiqué conçu pour détourner en temps réel le système de paiement instantané PIX, largement utilisé au Brésil. PixRevolution marque une évolution majeure dans le domaine des malwares financiers mobiles. Contrairement aux chevaux de Troie bancaires traditionnels, qui reposent principalement sur des techniques automatisées de superpositions d’écrans (overlays) ou sur le vol d’identifiants, ce malware introduit un modèle d’attaque piloté par un opérateur. Un intervenant humain, éventuellement assisté par l’IA, observe en direct l’écran d’un appareil infecté et intervient au moment même où la victime effectue un transfert PIX.

Une fois installé, le malware demeure inactif jusqu’à ce qu’un utilisateur lance une transaction. Lorsque la victime saisit les informations de paiement et valide l’opération, PixRevolution affiche brièvement un écran de chargement tout en remplaçant discrètement la clé PIX du destinataire par une clé contrôlée par l’attaquant. Pour la victime, transaction semble se dérouler normalement, mais les fonds sont instantanément redirigés vers le compte du cybercriminel.

« PixRevolution illustre l’évolution des malwares financiers mobiles vers des attaques en temps réel, pilotées par des opérateurs. Plutôt que de s’appuyer uniquement sur des scripts automatisés, les attaquants disposent désormais d’une visibilité directe sur les appareils compromis et interviennent au moment le plus opportun. Cette approche leur permet de contourner de nombreuses méthodes de détection traditionnelles et fait des systèmes de paiement instantané une cible particulièrement attractive. » explique Nicolás Chiaraviglio, Chef Scientist chez Zimperium.

Le malware se propage via de fausses pages d’app store imitant des fiches légitimes, pour inciter les utilisateurs à télécharger des applications Android malveillantes se faisant passer pour des services de confiance. Une fois installée, l’application demande des autorisations d’accessibilité sous couvert d’activer certaines fonctionnalités. En réalité, ces permissions accordent au cheval de Troie une visibilité totale sur l’activité à l’écran et lui permettent de manipuler les interactions de l’utilisateur.

PixRevolution capture et diffuse également l’écran de la victime vers un serveur de commande et de contrôle distant (C2) en exploitant l’API MediaProjection d’Android. Les attaquants peuvent ainsi surveiller les activités financières en temps réel et injecter des commandes modifiant les détails de la transaction quelques instants avant la confirmation du paiement.

La menace est particulièrement préoccupante au regard de l’ampleur de l’écosystème PIX. Lancé par la banque centrale brésilienne en 2020, PIX traite aujourd’hui des milliards de transactions chaque mois et est utilisé par une large majorité de la population du pays. Les transferts PIX étant instantanés et irréversibles, les transactions frauduleuses sont extrêmement difficiles à récupérer une fois effectuées.

Les chercheurs de Zimperium alertent sur le risque de généralisation de ce modèle d’attaque qui combine surveillance d’écran, détournement des fonctionnalités d’accessibilité et manipulation des transactions contrôlée par un opérateur. Une approche qui pourrait être rapidement adaptée à d’autres systèmes de paiement instantané dans le monde.