PixPirate Banking Trojan
I februari 2024 visade cybersäkerhetsforskare förekomsten av en tidigare okänd skadlig programvara för Android som spårades som PixPirate. Detta hot har utplacerats i riktade attacker mot banker i Latinamerika. För närvarande varnar experter för att en uppdaterad iteration av PixPirate Banking Trojan har dykt upp, med en ny stealth-teknik som gör att den kan fortsätta på enheter även efter att dess droppapp har tagits bort.
Innehållsförteckning
PixPirate använder två olika applikationer för att samla in bankinformation från offrens Android-telefoner
Forskare har noterat en betydande avvikelse från den konventionella strategin som används av skadlig programvara, särskilt med PixPirate. Till skillnad från typiska skadliga program som strävar efter att dölja sin ikon, en taktik som är möjlig på Android-versioner upp till 9, använder PixPirate istället inte en startikon helt och hållet. Detta unika tillvägagångssätt gör det möjligt för skadlig programvara att förbli dold på de senaste Android-systemen, och sträcker sig upp till version 14. Men frånvaron av en ikon utgör en annan utmaning: att inte ge offren möjlighet att initiera skadlig programvara. För att kringgå detta problem använder PixPirate två distinkta applikationer som arbetar tillsammans för att samla in känslig data från de infekterade enheterna.
Den ursprungliga applikationen, kallad "nedladdaren", sprids som APK-filer (Android-paketfiler) och distribueras via nätfiskemeddelanden på plattformar som WhatsApp eller SMS. Vid installationen begär denna nedladdningsapplikation åtkomst till högriskbehörigheter, inklusive tillgänglighetstjänster. Därefter fortsätter den med att hämta och installera den andra applikationen, kallad "droppee", som är den krypterade PixPirate bankskadlig programvara.
Applikationen "droppee" avstår från att deklarera en primär aktivitet med "android.intent.action.MAIN" och "android.intent.category.LAUNCHER" i sitt manifest, vilket säkerställer frånvaron av en ikon på hemskärmen, vilket gör den helt och hållet. oansenlig. Istället exporterar droppee-applikationen en tjänst som andra applikationer kan komma åt. Nedladdaren upprättar en anslutning till den här tjänsten för att initiera lanseringen av PixPirate skadlig programvara vid behov.
Olika triggers kan starta exekveringen av PixPirate Banking Trojan
Utöver dropparapplikationens förmåga att initiera och kontrollera skadlig programvara, kan PixPirate också utlösas av olika systemhändelser, såsom enhetsstart eller ändringar i anslutning, som den aktivt övervakar. Detta gör att PixPirate kan arbeta i smyg i bakgrunden av offrets enhet.
Dropee-komponenten i PixPirate har en tjänst som heter 'com.companian.date.sepherd', som exporteras och är utrustad med ett avsiktsfilter som använder den anpassade åtgärden 'com.ticket.stage.Service'. När nedladdaren har för avsikt att aktivera avlämnaren upprättar den en anslutning till denna tjänst genom att använda 'BindService' API tillsammans med flaggan 'BIND_AUTO_CREATE'. Denna åtgärd resulterar i skapandet och utförandet av avlämningstjänsten.
Efter skapandet och bindningsprocessen för avskrivningstjänsten, lanseras APK-filen för avskrivning och börjar sin verksamhet. Vid denna tidpunkt, även om offret tar bort nedladdningsprogrammet från enheten, kan PixPirate fortsätta att upprätthålla sin funktion, utlöst av olika enhetshändelser, samtidigt som den effektivt döljer sin närvaro för användaren.
PixPirate riktar sig specifikt mot Pix-betalningsplattformen
Skadlig programvara riktar sig specifikt till Pix-plattformen för omedelbar betalning i Brasilien, som syftar till att häva pengar till angripare genom att avlyssna eller initiera bedrägliga transaktioner. Pix har vunnit betydande popularitet i Brasilien, med över 140 miljoner användare som genomförde transaktioner på över 250 miljarder USD i mars 2023.
PixPirate utnyttjar funktioner för Remote Access Trojan (RAT) för att automatisera hela den bedrägliga processen, från att fånga användaruppgifter och tvåfaktorsautentiseringskoder till att utföra obehöriga Pix-pengaröverföringar, allt smygande utan användarens medvetenhet. För att uppnå dessa uppgifter krävs dock att du erhåller behörigheter för tillgänglighetstjänsten.
Dessutom innehåller PixPirate en reservmekanism för manuell kontroll för fall där automatiserade metoder misslyckas, vilket ger angripare ett alternativt sätt att utföra bedrägerier på enheten. Forskare lyfter också fram skadlig programvaras användning av malvertising av push-meddelanden och dess förmåga att inaktivera Google Play Protect, en grundläggande säkerhetsfunktion på Android-plattformen.
Även om infektionsmetoden som används av PixPirate inte är banbrytande och kan mildras genom att avstå från att ladda ner obehöriga APK-filer, representerar dess antagande av strategier som frånvaron av en ikon och registrering av tjänster bundna till systemhändelser ett oroande och nytt tillvägagångssätt.
