一、问题现状 网络安全研究机构Zimperium最新报告指出,PixRevolution、BeatBanker等六个恶意软件家族已形成一条较完整的犯罪链。其中特别活跃的PixRevolution,会伪造Expedia等应用的Google Play页面进行传播,诱导用户开启无障碍服务权限后,实时盯控Pix转账界面。一旦受害者填写收款信息——木马便覆盖原支付页面——将转账对象替换为攻击者账户。由于巴西央行推出的Pix具备“即时到账”特性,很多受害者往往交易完成几天后才发现异常。 二、技术特征分析 这批恶意软件在技术上呈现三点明显变化:一是利用MediaProjection API实时截取屏幕内容,让攻击者能在关键交易环节进行人工干预;二是BeatBanker通过循环播放5秒中文音频维持进程活跃,以绕过系统休眠与后台限制;三是部分变种加入加密货币挖矿模块,并会根据设备电量动态调整攻击强度与策略。卡巴斯基实验室补充称,新发现的BTMOB远控工具已具备对设备的“完全接管”能力,其技术脉络可追溯至叙利亚黑客组织开发的CraxsRAT系列。 三、社会影响评估 巴西是拉美最大的数字支付市场,Pix系统日均处理约1.5亿笔交易。本轮攻击不仅带来直接经济损失,也削弱了公众对移动支付安全性的信任。里约热内卢联邦大学网络安全研究中心监测显示,2023年第四季度巴西金融类网络犯罪同比增长217%,其中83%由安卓端发起。央行数据也表明,Pix欺诈投诉中“屏幕劫持”有关占比已从年初的12%升至39%。 四、防御体系建设进展 巴西网络安全应急响应中心已联合金融机构启动“盾牌行动”,重点措施包括:推动支付环节的二次确认、建立恶意APK哈希值实时比对数据库,并要求应用商店下架未完成验证的金融类应用。谷歌上则升级Play Protect,新增对无障碍服务异常调用的监测能力。 五、未来风险预警 专家认为,这类攻击可能出现三方面演变:目标从Pix扩展到其他即时支付工具;犯罪团伙借助生成式技术制作更逼真的钓鱼界面;跨国协作作案比例继续上升。国际刑警组织南美分局建议各国建立联合溯源机制,并推动支付平台风控与终端安全防护更深度联动。
移动支付提升了资金流转效率,也把安全门槛抬得更高。面对“覆盖层劫持”和“瞬时篡改”等隐蔽手法,只有平台强化风控、生态加强治理、用户提升安全习惯,多方协同,才能在便捷与安全之间建立更可靠的防线,守住数字金融的信任基础。