PixPirate Banking טרויאני
בפברואר 2024, חוקרי אבטחת סייבר העלו את קיומה של תוכנת זדונית אנדרואיד שלא הייתה ידועה בעבר, שמעקבה אחריה בשם PixPirate. האיום הזה נפרס בהתקפות ממוקדות נגד בנקים באמריקה הלטינית. נכון לעכשיו, מומחים מזהירים כי צצה איטרציה מעודכנת של הטרויאני PixPirate Banking, הכולל טכניקת התגנבות חדשה המאפשרת לו להתמיד במכשירים גם לאחר הסרת יישום הטפטפת שלו.
תוכן העניינים
PixPirate משתמש בשתי יישומים שונים כדי לאסוף מידע בנקאי ממכשירי האנדרואיד של הקורבנות
חוקרים ציינו סטייה משמעותית מהאסטרטגיה המקובלת של תוכנות זדוניות, במיוחד עם PixPirate. שלא כמו תוכנות זדוניות טיפוסיות שמשתדלות להסתיר את הסמל שלה, טקטיקה אפשרית בגרסאות אנדרואיד עד 9, PixPirate במקום זאת לא משתמשת בסמל משגר לחלוטין. גישה ייחודית זו מאפשרת לתוכנה הזדונית להישאר מוסתרת במערכות אנדרואיד האחרונות, עד לגרסה 14. עם זאת, היעדר אייקון מהווה אתגר נוסף: לא מספקים אמצעים לקורבנות ליזום את התוכנה הזדונית. כדי לעקוף בעיה זו, PixPirate מעסיקה שני יישומים שונים הפועלים במקביל לקצירת נתונים רגישים מהמכשירים הנגועים.
היישום הראשוני, המכונה 'ההורדה', מופץ כ-APKs (קבצי חבילות אנדרואיד) ומופץ באמצעות הודעות דיוג בפלטפורמות כמו WhatsApp או SMS. עם ההתקנה, יישום הורדה זה מבקש גישה להרשאות בסיכון גבוה, כולל שירותי נגישות. לאחר מכן, הוא ממשיך להביא ולהתקין את האפליקציה השנייה, המכונה 'droppee', שהיא התוכנה הזדונית הבנקאית המוצפנת PixPirate.
אפליקציית ה-'droppee' נמנעת מהכרזה על פעילות ראשית עם 'android.intent.action.MAIN' ו-'android.intent.category.LAUNCHER' במניפסט שלה, ובכך מבטיחה את היעדר סמל במסך הבית, ומציגה אותו במלואו. לֹא בּוֹלֵט. במקום זאת, אפליקציית השחרור מייצאת שירות שיישומים אחרים יכולים לגשת אליו. ההורדה יוצר חיבור לשירות זה כדי ליזום את השקת התוכנה הזדונית PixPirate כנדרש.
טריגרים שונים יכולים להתחיל את הביצוע של הטרויאני הבנקאי PixPirate
בנוסף ליכולת של אפליקציית הטפטפת ליזום ולשלוט בתוכנה זדונית, PixPirate יכול להיות מופעל גם על ידי אירועי מערכת שונים, כגון אתחול המכשיר או שינויים בקישוריות, שהם עוקבים אחריהם באופן פעיל. זה מאפשר ל-PixPirate לפעול בחשאי ברקע של המכשיר של הקורבן.
רכיב השחרור של PixPirate כולל שירות בשם 'com.companian.date.sepherd', המיוצא ומצויד במסנן כוונות המשתמש בפעולה המותאמת אישית 'com.ticket.stage.Service'. כאשר ההורדה מתכוונת להפעיל את הנפטר, הוא יוצר חיבור עם שירות זה על ידי שימוש בממשק ה-API של 'BindService' יחד עם הדגל 'BIND_AUTO_CREATE'. פעולה זו מביאה ליצירה וביצוע של שירות הנשירה.
לאחר תהליך היצירה והכריכה של שירות ה-dropee, ה-APK של ה-dropee מושק ומתחיל את פעולתו. בשלב זה, גם אם הקורבן מסיר את אפליקציית ההורדה מהמכשיר, PixPirate יכולה להמשיך ולשמור על פעולתה, המופעלת על ידי אירועי מכשיר שונים, תוך הסתרת נוכחות יעילה מהמשתמש.
PixPirate ממקד את פלטפורמת התשלום של Pix באופן ספציפי
התוכנה הזדונית מכוונת במיוחד לפלטפורמת התשלום המיידי Pix בברזיל, במטרה לשאוב כספים לתוקפים על ידי יירוט או ייזום עסקאות הונאה. Pix צברה פופולריות משמעותית בברזיל, עם למעלה מ-140 מיליון משתמשים מבצעים עסקאות העולה על 250 מיליארד דולר נכון למרץ 2023.
PixPirate ממנפת יכולות טרויאניות של גישה מרחוק (RAT) כדי להפוך את כל תהליך ההונאה לאוטומטי, החל מלכידת אישורי משתמש וקודי אימות דו-גורמי ועד לביצוע העברות כספים לא מורשות של Pix, והכל בחשאי ללא מודעות המשתמש. עם זאת, השגת משימות אלו דורשת קבלת הרשאות שירות הנגישות.
בנוסף, PixPirate משלבת מנגנון בקרה ידני מסוג סתירה למקרים שבהם שיטות אוטומטיות נכשלות, מה שמספק לתוקפים אמצעי חלופי לביצוע הונאה במכשיר. החוקרים מדגישים גם את השימוש של התוכנה הזדונית ב-Push Notification Malvertising ואת היכולת שלה להשבית את Google Play Protect, תכונת אבטחה בסיסית של פלטפורמת אנדרואיד.
בעוד ששיטת ההדבקה בה משתמש PixPirate אינה פורצת דרך וניתנת להפחתה על ידי הימנעות מהורדת חבילות APK לא מורשות, אימוץ האסטרטגיות שלה כמו היעדר אייקון ורישום שירותים הקשורים לאירועי מערכת מייצג גישה מדאיגה וחדישה.
