PixPirate बैंकिंग ट्रोजन

फरवरी 2024 में, साइबर सुरक्षा शोधकर्ताओं ने PixPirate के रूप में ट्रैक किए गए पहले से अज्ञात एंड्रॉइड मैलवेयर के अस्तित्व को प्रकाश में लाया। यह खतरा लैटिन अमेरिका में बैंकों के खिलाफ लक्षित हमलों में तैनात किया गया है। वर्तमान में, विशेषज्ञों ने चेतावनी दी है कि पिक्सपाइरेट बैंकिंग ट्रोजन का एक अद्यतन संस्करण सामने आया है, जिसमें एक नई स्टील्थ तकनीक है जो इसके ड्रॉपर एप्लिकेशन को हटाए जाने के बाद भी उपकरणों पर बने रहने में सक्षम बनाती है।

PixPirate पीड़ितों के एंड्रॉइड फोन से बैंकिंग जानकारी एकत्र करने के लिए दो अलग-अलग एप्लिकेशन का उपयोग करता है

शोधकर्ताओं ने विशेष रूप से PixPirate के साथ मैलवेयर द्वारा नियोजित पारंपरिक रणनीति से एक महत्वपूर्ण विचलन देखा है। सामान्य मैलवेयर के विपरीत, जो अपने आइकन को छिपाने का प्रयास करता है, यह रणनीति 9 तक के एंड्रॉइड संस्करणों पर संभव है, इसके बजाय PixPirate पूरी तरह से लॉन्चर आइकन का उपयोग नहीं करता है। यह अनूठा दृष्टिकोण मैलवेयर को हाल के एंड्रॉइड सिस्टम पर छिपा रहने में सक्षम बनाता है, जो कि संस्करण 14 तक फैला हुआ है। हालांकि, आइकन की अनुपस्थिति एक और चुनौती पेश करती है: पीड़ितों को मैलवेयर शुरू करने के लिए कोई साधन प्रदान नहीं करना। इस समस्या से बचने के लिए, PixPirate दो अलग-अलग अनुप्रयोगों को नियोजित करता है जो संक्रमित उपकरणों से संवेदनशील डेटा एकत्र करने के लिए मिलकर काम करते हैं।

प्रारंभिक एप्लिकेशन, जिसे 'डाउनलोडर' कहा जाता है, एपीके (एंड्रॉइड पैकेज फ़ाइलें) के रूप में फैलाया जाता है और व्हाट्सएप या एसएमएस जैसे प्लेटफार्मों पर फ़िशिंग संदेशों के माध्यम से वितरित किया जाता है। इंस्टालेशन पर, यह डाउनलोडर एप्लिकेशन एक्सेसिबिलिटी सेवाओं सहित उच्च जोखिम वाली अनुमतियों तक पहुंच का अनुरोध करता है। इसके बाद, यह दूसरे एप्लिकेशन को लाने और इंस्टॉल करने के लिए आगे बढ़ता है, जिसे 'ड्रॉपी' कहा जाता है, जो एन्क्रिप्टेड PixPirate बैंकिंग मैलवेयर है।

'ड्रॉपी' एप्लिकेशन अपने मेनिफेस्ट में 'android.intent.action.MAIN' और 'android.intent.category.LAUNCHER' के साथ प्राथमिक गतिविधि घोषित करने से परहेज करता है, जिससे होम स्क्रीन पर एक आइकन की अनुपस्थिति सुनिश्चित होती है, जो इसे पूरी तरह से प्रस्तुत करती है। अगोचर. इसके बजाय, ड्रॉपपी एप्लिकेशन एक सेवा निर्यात करता है जिसे अन्य एप्लिकेशन एक्सेस कर सकते हैं। आवश्यकतानुसार PixPirate मैलवेयर लॉन्च करने के लिए डाउनलोडर इस सेवा से एक कनेक्शन स्थापित करता है।

विभिन्न ट्रिगर्स पिक्सपाइरेट बैंकिंग ट्रोजन का निष्पादन शुरू कर सकते हैं

मैलवेयर शुरू करने और नियंत्रित करने के लिए ड्रॉपर एप्लिकेशन की क्षमता के अलावा, PixPirate को विभिन्न सिस्टम घटनाओं, जैसे डिवाइस बूटिंग या कनेक्टिविटी में परिवर्तन, द्वारा भी ट्रिगर किया जा सकता है, जिसे यह सक्रिय रूप से मॉनिटर करता है। यह PixPirate को पीड़ित के डिवाइस की पृष्ठभूमि में गुप्त रूप से संचालित करने में सक्षम बनाता है।

PixPirate के ड्रॉपी घटक में 'com.companian.date.sepherd' नाम की एक सेवा है, जिसे निर्यात किया जाता है और कस्टम एक्शन 'com.ticket.stage.Service' का उपयोग करते हुए एक इरादे फ़िल्टर से सुसज्जित किया जाता है। जब डाउनलोडर ड्रॉपपी को सक्रिय करने का इरादा रखता है, तो वह 'BIND_AUTO_CREATE' ध्वज के साथ 'BindService' API का उपयोग करके इस सेवा के साथ एक कनेक्शन स्थापित करता है। इस क्रिया के परिणामस्वरूप ड्रॉपपी सेवा का निर्माण और निष्पादन होता है।

ड्रॉपपी सेवा के निर्माण और बाइंडिंग प्रक्रिया के बाद, ड्रॉपपी एपीके लॉन्च किया जाता है और अपना संचालन शुरू करता है। इस बिंदु पर, भले ही पीड़ित डिवाइस से डाउनलोडर एप्लिकेशन को हटा देता है, PixPirate उपयोगकर्ता से अपनी उपस्थिति को प्रभावी ढंग से छिपाते हुए, विभिन्न डिवाइस घटनाओं के कारण अपना संचालन जारी रख सकता है।

PixPirate विशेष रूप से Pix भुगतान प्लेटफ़ॉर्म को लक्षित करता है

मैलवेयर विशेष रूप से ब्राज़ील में पिक्स इंस्टेंट पेमेंट प्लेटफ़ॉर्म को लक्षित करता है, जिसका उद्देश्य धोखाधड़ी वाले लेनदेन को रोककर या आरंभ करके हमलावरों को धन भेजना है। पिक्स ने ब्राजील में महत्वपूर्ण लोकप्रियता हासिल की है, मार्च 2023 तक 140 मिलियन से अधिक उपयोगकर्ताओं ने $250 बिलियन से अधिक का लेनदेन किया है।

उपयोगकर्ता क्रेडेंशियल और दो-कारक प्रमाणीकरण कोड कैप्चर करने से लेकर अनधिकृत पिक्स मनी ट्रांसफर निष्पादित करने तक, पूरी धोखाधड़ी प्रक्रिया को स्वचालित करने के लिए PixPirate रिमोट एक्सेस ट्रोजन (RAT) क्षमताओं का लाभ उठाता है, यह सब उपयोगकर्ता की जागरूकता के बिना चुपचाप किया जाता है। हालाँकि, इन कार्यों को प्राप्त करने के लिए एक्सेसिबिलिटी सेवा अनुमतियाँ प्राप्त करना आवश्यक है।

इसके अतिरिक्त, PixPirate उन उदाहरणों के लिए एक फ़ॉलबैक मैनुअल नियंत्रण तंत्र को शामिल करता है जहां स्वचालित तरीके विफल हो जाते हैं, जो हमलावरों को ऑन-डिवाइस धोखाधड़ी को अंजाम देने के लिए वैकल्पिक साधन प्रदान करता है। शोधकर्ताओं ने मैलवेयर के पुश नोटिफिकेशन मैलवर्टाइजिंग के उपयोग और एंड्रॉइड प्लेटफ़ॉर्म की एक मूलभूत सुरक्षा सुविधा Google Play प्रोटेक्ट को अक्षम करने की क्षमता पर भी प्रकाश डाला।

जबकि पिक्सपाइरेट द्वारा अपनाई गई संक्रमण की विधि अभूतपूर्व नहीं है और इसे अनधिकृत एपीके डाउनलोड करने से परहेज करके कम किया जा सकता है, आइकन की अनुपस्थिति और सिस्टम घटनाओं से जुड़ी सेवाओं के पंजीकरण जैसी रणनीतियों को अपनाना एक संबंधित और उपन्यास दृष्टिकोण का प्रतिनिधित्व करता है।