PixPirate 银行木马

2024 年 2 月，网络安全研究人员发现了一种以前未知的 Android 恶意软件的存在，该恶意软件被追踪为 PixPirate。这种威胁已被用于针对拉丁美洲银行的针对性攻击。目前，专家警告说，PixPirate 银行木马的更新版本已经浮出水面，它采用了一种新的隐形技术，即使在删除程序应用程序被删除后，它也能在设备上持续存在。

PixPirate 使用两种不同的应用程序从受害者的 Android 手机收集银行信息

研究人员注意到恶意软件（尤其是 PixPirate）所采用的传统策略存在重大背离。与典型的恶意软件试图隐藏其图标（Android 9 及以上版本可能采用的策略）不同，PixPirate 并不完全使用启动器图标。这种独特的方法使恶意软件能够在最新的 Android 系统上保持隐藏状态，一直延伸到版本 14。然而，图标的缺失带来了另一个挑战：受害者无法启动恶意软件。为了规避这个问题，PixPirate 使用两个不同的应用程序协同工作，从受感染的设备中获取敏感数据。

最初的应用程序被称为“下载器”，以 APK（Android 包文件）形式传播，并通过 WhatsApp 或 SMS 等平台上的网络钓鱼消息进行分发。安装后，此下载器应用程序会请求访问高风险权限，包括辅助功能服务。随后，它继续获取并安装第二个应用程序，称为“droppee”，这是加密的 PixPirate 银行恶意软件。

“droppee”应用程序避免在其清单中声明带有“android.intent.action.MAIN”和“android.intent.category.LAUNCHER”的主要活动，从而确保主屏幕上没有图标，从而完全呈现它不显眼的。相反，droppee 应用程序会导出其他应用程序可以访问的服务。下载程序会建立与此服务的连接，以根据需要启动 PixPirate 恶意软件的启动。

各种触发器可以启动 PixPirate 银行木马的执行

除了植入程序应用程序启动和控制恶意软件的能力之外，PixPirate 还可以由各种系统事件触发，例如它主动监控的设备启动或连接变化。这使得 PixPirate 能够在受害者设备的后台秘密运行。

PixPirate 的 droppee 组件具有名为“com.companian.date.sepherd”的服务，该服务已导出并配备了利用自定义操作“com.ticket.stage.Service”的意图过滤器。当下载程序打算激活 droppee 时，它会利用“BindService”API 以及“BIND_AUTO_CREATE”标志与该服务建立连接。此操作将导致 droppee 服务的创建和执行。

在 droppee 服务的创建和绑定过程之后，droppee APK 将启动并开始运行。此时，即使受害者从设备中删除下载器应用程序，PixPirate 也可以继续维持其由各种设备事件触发的操作，同时有效地向用户隐藏其存在。

PixPirate专门针对Pix支付平台

该恶意软件专门针对巴西的 Pix 即时支付平台，旨在通过拦截或发起欺诈交易来向攻击者窃取资金。 Pix 在巴西非常受欢迎，截至 2023 年 3 月，超过 1.4 亿用户的交易额超过 2500 亿美元。

PixPirate 利用远程访问木马 (RAT) 功能来自动化整个欺诈过程，从捕获用户凭据和两因素身份验证代码到执行未经授权的 Pix 资金转账，所有这些都是在用户不知情的情况下进行的。但是，完成这些任务需要获得辅助功能服务权限。

此外，PixPirate 还针对自动化方法失败的情况采用了后备手动控制机制，为攻击者提供了实施设备欺诈的替代方法。研究人员还强调了该恶意软件对推送通知恶意广告的利用及其禁用 Google Play Protect（Android 平台的一项基本安全功能）的能力。

虽然 PixPirate 采用的感染方法并不是开创性的，并且可以通过避免下载未经授权的 APK 来缓解，但其采用的策略（例如不使用图标和注册与系统事件绑定的服务）代表了一种令人担忧且新颖的方法。