El Malware PixPirate Engaña a los Usuarios a través de WhatsApp para Robar Datos Financieros

El malware PixPirate, que se propaga a través de WhatsApp, apunta a aplicaciones financieras en Brasil, India, Italia y México, robando datos y permaneciendo oculto.

Una nueva ola de malware conocida como PixPirate se está propagando rápidamente, teniendo como objetivo principal a usuarios bancarios en Brasil e India, aunque su alcance se extiende hasta Italia y México.

Investigadoras de seguridad de Trusteer Lab han identificado esta amenaza, destacando sus sofisticadas técnicas que engañan a los usuarios para que descarguen aplicaciones maliciosas disfrazadas de herramientas financieras legítimas, según informó Security Intelligence.

PixPirate consta de dos componentes principales: un descargador y un distribuidor (llamado el receptor). El descargador se hace pasar por una aplicación de autenticación diseñada para proteger las cuentas bancarias. Una vez instalado, no solo ejecuta el distribuidor malicioso, sino que también gestiona activamente sus operaciones, facilitando el fraude financiero.

Esta aplicación no está disponible en plataformas oficiales como Google Play Store. En su lugar, se propaga a través de mensajes de phishing enviados por SMS (conocidos como smishing) o spam de WhatsApp de usuarios infectados.

Una vez que se instala el descargador, engaña a los usuarios para que concedan permisos alegando que se requiere una “actualización”. En realidad, este proceso instala el malware dropper en el dispositivo de la víctima. El dropper permanece oculto, sin mostrar ningún icono en la pantalla de inicio, lo que dificulta su detección por parte de los usuarios.

Inicialmente identificado en Brasil, PixPirate se dirige principalmente al sistema de pagos Pix del país, ampliamente utilizado en las aplicaciones bancarias brasileñas. Trusteer Lab informa que alrededor del 70% de las infecciones se encuentran en Brasil.

Sin embargo, el 20% de los casos se han identificado en India, donde parece que el malware se está preparando para atacar la plataforma de Interfaz de Pagos Unificados (UPI) del país, que facilita pagos instantáneos para millones de usuarios.

Las infecciones también han comenzado a surgir en Italia y México, lo que sugiere que los atacantes buscan expandir sus operaciones a nivel mundial. Los desarrolladores del malware utilizan herramientas como videos instructivos de YouTube para guiar a las víctimas sobre cómo otorgar permisos, lo que ayuda aún más a su propagación.

Una característica única de PixPirate es su integración con WhatsApp para enviar mensajes de phishing desde dispositivos infectados. Al acceder a las listas de contactos de las víctimas, se propaga enviando mensajes que parecen provenir de fuentes confiables, explotando la sensación de seguridad del destinatario.

Durante esta actividad, PixPirate utiliza una superposición para ocultar sus operaciones al usuario, asegurando que la víctima permanezca inconsciente. Security Intelligence señala que PixPirate emplea métodos sofisticados, incluyendo acceso remoto, intercepción de SMS y capacidades anti-eliminación.

Incluso utiliza los servicios de accesibilidad de Android para imitar la interacción humana, como hacer clic en botones para enviar mensajes de WhatsApp. Estas características permiten que el malware realice fraudes de manera automática y sigilosa.

El resurgimiento de PixPirate pone de relieve la creciente sofisticación de las operaciones de cibercriminales que apuntan a las plataformas de banca móvil en todo el mundo. Se aconseja a los usuarios que eviten descargar aplicaciones de fuentes desconocidas, que analicen detenidamente los mensajes inesperados y que utilicen fuertes medidas de ciberseguridad para proteger sus dispositivos.