Malware PixRevolution : la nouvelle cyberattaque qui cible le paiement instantané PIX

Un nouveau malware bancaire baptisé PixRevolution cible le système de paiement instantané PIX au Brésil. Grâce à l’accès à l’écran des smartphones, les cybercriminels peuvent détourner les transactions en temps réel sans éveiller les soupçons.

Une nouvelle génération de cybermenaces mobiles au Brésil

Les experts de la division de recherche zLabs, rattachée à Zimperium, viennent de mettre au jour une attaque d’un genre inédit visant spécifiquement l’écosystème du paiement instantané PIX. Ce système, mis en place par la banque centrale brésilienne en 2020 et massivement adopté, gère aujourd’hui des milliards de transactions mensuelles. Si son efficacité séduit la majorité des Brésiliens, son irréversibilité en fait aussi une cible privilégiée pour les cybercriminels.

Le système PIX  est devenu l’un des plus grands réseaux de paiement instantané au monde. En 2024-2025, il dépasse régulièrement 4 à 5 milliards de transactions mensuelles. Son succès accélère l’innovation fintech… mais attire aussi une hausse des fraudes ciblant les paiements en temps réel.

PixRevolution : le cheval de Troie qui change la donne

Au cœur de cette menace, un nouveau cheval de Troie bancaire baptisé PixRevolution. Décrit par Nicolás Chiaraviglio, Chief Scientist chez Zimperium, comme « une évolution des malwares financiers mobiles vers des attaques pilotées en temps réel », ce logiciel malveillant se distingue des précédents. Finies les méthodes automatisées classiques basées sur les overlays ou le vol d’identifiants : ici, une intervention humaine – éventuellement appuyée par l’intelligence artificielle permet aux attaquants d’observer directement l’écran d’un appareil compromis et d’agir précisément lors d’un transfert PIX.

La sophistication du procédé repose notamment sur l’utilisation détournée des autorisations d’accessibilité et de l’API MediaProjection d’Android. Concrètement, dès qu’une application frauduleuse est installée, souvent via de fausses pages imitant celles des app stores officiels, elle requiert ces permissions sous prétexte d’activer certaines fonctions pratiques. Mais dans les faits, cela offre au malware une vue complète sur l’écran et la capacité de manipuler les interactions de l’utilisateur à distance.

Détournement instantané et invisibilité pour la victime

Lorsqu’une transaction PIX est initiée, le malware reste discret jusqu’à la saisie effective des informations. À ce moment précis, un écran factice s’affiche brièvement : pendant ce laps de temps minime, la clé du bénéficiaire est remplacée à l’insu de la victime par celle contrôlée par le cybercriminel. L’argent transite alors vers un compte frauduleux sans que rien n’éveille les soupçons.

Voici comment s’opère cette attaque selon les chercheurs :

• L’application malveillante est téléchargée depuis une fausse page officielle.
• L’utilisateur accorde à son insu des permissions cruciales (accessibilité).
• Le malware observe et modifie en temps réel une transaction PIX.

Vers une généralisation du modèle ?

Pour conclure, l’approche adoptée par PixRevolution inquiète particulièrement les chercheurs : « Les attaquants disposent désormais d’une visibilité directe sur les appareils compromis et interviennent au moment le plus opportun », souligne encore Nicolás Chiaraviglio. Cette tactique pourrait rapidement inspirer des groupes visant d’autres solutions de paiement instantané dans le monde entier. À surveiller avec attention, tant pour ses implications techniques que pour son impact potentiel sur la confiance dans ces nouveaux modes de transaction numérique.