Investigadores de ciberseguridad identificaron una familia de malware denominada PixRevolution que permite a los atacantes vigilar la pantalla del dispositivo y manipular transacciones realizadas a través del sistema de pagos instantáneos Pix.
Investigadores de ciberseguridad han identificado una nueva amenaza dirigida contra usuarios de dispositivos Android en Brasil que utiliza técnicas avanzadas para interceptar y manipular pagos realizados a través de Pix, el sistema de transferencias instantáneas desarrollado por el Banco Central de Brasil. El malware, denominado PixRevolution, permite a los atacantes monitorear la actividad en los teléfonos comprometidos y modificar operaciones financieras mientras se ejecutan.
El análisis técnico del código malicioso fue publicado por investigadores de seguridad de la empresa de móvil Zimperium, quienes señalaron que la amenaza forma parte de una campaña que utiliza troyanos bancarios diseñados específicamente para explotar el ecosistema de pagos Pix, ampliamente utilizado en Brasil para transferencias entre personas y pagos comerciales.
Según el informe, PixRevolution opera como un troyano controlado directamente por operadores humanos, lo que permite a los atacantes supervisar la pantalla del dispositivo infectado en tiempo real. Esta capacidad facilita que los ciberdelincuentes observen cuándo una víctima inicia una transferencia y modifiquen la transacción antes de que sea confirmada.
“El malware permite a los operadores monitorear la pantalla del dispositivo comprometido y ejecutar acciones en tiempo real para redirigir los pagos”, señalaron los investigadores al describir el funcionamiento de la amenaza.
La infección generalmente comienza con la distribución de aplicaciones maliciosas que se presentan como herramientas legítimas, actualizaciones o utilidades para dispositivos móviles. Una vez instaladas, estas aplicaciones solicitan permisos avanzados del sistema Android, incluyendo acceso a funciones de accesibilidad, lo que les permite controlar diversas operaciones dentro del dispositivo.
Con estos permisos, el malware puede observar las acciones del usuario, capturar información mostrada en la pantalla y ejecutar comandos remotos enviados por los operadores de la campaña. De esta manera, los atacantes pueden intervenir directamente en una transacción Pix en curso y sustituir los datos del destinatario para redirigir el dinero a cuentas controladas por los criminales.
Los investigadores indicaron que PixRevolution no actúa de forma completamente automática, sino que requiere la participación activa de operadores que monitorean a las víctimas y deciden cuándo intervenir en las operaciones financieras.
Además de PixRevolution, los especialistas han identificado otras familias de malware para Android dirigidas al sistema Pix, lo que sugiere un aumento en las campañas de cibercrimen enfocadas en este método de pago. En algunos casos, las amenazas incluyen funciones adicionales como robo de credenciales, captura de datos bancarios y acceso remoto al dispositivo.
El sistema Pix se ha convertido en uno de los principales medios de pago digital en Brasil desde su lanzamiento en 2020, con millones de usuarios que realizan transferencias instantáneas a través de aplicaciones bancarias y billeteras digitales. Su adopción masiva ha convertido a la plataforma en un objetivo atractivo para los ciberdelincuentes que buscan monetizar ataques contra dispositivos móviles.
Los investigadores recomiendan a los usuarios evitar instalar aplicaciones fuera de las tiendas oficiales, revisar cuidadosamente los permisos solicitados por las aplicaciones y mantener actualizado el sistema operativo del dispositivo para reducir el riesgo de infección.
Asimismo, señalan que la detección temprana de comportamientos sospechosos en dispositivos móviles y el monitoreo de transacciones financieras pueden ayudar a limitar el impacto de este tipo de amenazas dirigidas a sistemas de pago digital.