PixPirate المصرفية طروادة

في فبراير 2024، سلط باحثو الأمن السيبراني الضوء على وجود برنامج ضار يعمل بنظام Android غير معروف سابقًا ويتم تتبعه باسم PixPirate. وقد تم نشر هذا التهديد في هجمات مستهدفة ضد البنوك في أمريكا اللاتينية. في الوقت الحاضر، يحذر الخبراء من ظهور نسخة محدثة من حصان طروادة PixPirate Banking، والتي تتميز بتقنية خفية جديدة تمكنها من الاستمرار على الأجهزة حتى بعد إزالة تطبيق القطارة الخاص بها.

تستخدم PixPirate تطبيقين مختلفين لجمع المعلومات المصرفية من هواتف Android الخاصة بالضحايا

لاحظ الباحثون خروجًا كبيرًا عن الإستراتيجية التقليدية التي تستخدمها البرامج الضارة، خاصة مع PixPirate. على عكس البرامج الضارة النموذجية التي تسعى إلى إخفاء رمزها، وهو تكتيك ممكن في إصدارات Android حتى الإصدار 9، فإن PixPirate بدلاً من ذلك لا يستخدم رمز المشغل تمامًا. يمكّن هذا النهج الفريد البرامج الضارة من البقاء مخفية على أنظمة Android الحديثة، ويمتد حتى الإصدار 14. ومع ذلك، فإن عدم وجود رمز يمثل تحديًا آخر: عدم توفير أي وسيلة للضحايا لبدء البرامج الضارة. للتحايل على هذه المشكلة، يستخدم PixPirate تطبيقين متميزين يعملان جنبًا إلى جنب لجمع البيانات الحساسة من الأجهزة المصابة.

يتم نشر التطبيق الأولي، المشار إليه باسم "التنزيل"، على شكل ملفات APK (ملفات حزمة Android) ويتم توزيعه عبر رسائل التصيد الاحتيالي على منصات مثل WhatsApp أو SMS. عند التثبيت، يطلب تطبيق التنزيل هذا الوصول إلى أذونات عالية المخاطر، بما في ذلك خدمات إمكانية الوصول. وبعد ذلك، يشرع في جلب وتثبيت التطبيق الثاني، الذي يطلق عليه اسم "droppee"، وهو البرنامج الضار المشفر للخدمات المصرفية PixPirate.

يمتنع تطبيق "droppee" عن الإعلان عن نشاط أساسي باستخدام "android.intent.action.MAIN" و"android.intent.category.LAUNCHER" في بيانه، مما يضمن عدم وجود رمز على الشاشة الرئيسية، مما يجعله بالكامل غير واضح. وبدلاً من ذلك، يقوم تطبيق Droppee بتصدير خدمة يمكن للتطبيقات الأخرى الوصول إليها. يقوم برنامج التنزيل بإنشاء اتصال بهذه الخدمة لبدء تشغيل البرنامج الضار PixPirate كما هو مطلوب.

يمكن للمشغلات المختلفة بدء تنفيذ حصان طروادة PixPirate Banking

بالإضافة إلى قدرة تطبيق القطارة على بدء البرامج الضارة والتحكم فيها، يمكن أيضًا تشغيل PixPirate من خلال أحداث النظام المختلفة، مثل تشغيل الجهاز أو التغييرات في الاتصال، والتي يراقبها بشكل نشط. يتيح ذلك لـ PixPirate العمل خلسة في خلفية جهاز الضحية.

يتميز مكون Droppee في PixPirate بخدمة تسمى "com.companian.date.sepherd"، والتي يتم تصديرها وتزويدها بمرشح غرض باستخدام الإجراء المخصص "com.ticket.stage.Service". عندما ينوي برنامج التنزيل تنشيط Droppee، فإنه ينشئ اتصالاً بهذه الخدمة من خلال استخدام واجهة برمجة التطبيقات 'BindService' مع علامة 'BIND_AUTO_CREATE'. يؤدي هذا الإجراء إلى إنشاء خدمة Droppee وتنفيذها.

بعد عملية الإنشاء والربط لخدمة Droppee، يتم إطلاق APK Droppee ويبدأ عملياته. في هذه المرحلة، حتى إذا قام الضحية بإزالة تطبيق التنزيل من الجهاز، فيمكن لـ PixPirate الاستمرار في الحفاظ على تشغيله، والذي يتم تشغيله بواسطة أحداث الجهاز المختلفة، مع إخفاء وجوده عن المستخدم بشكل فعال.

يستهدف PixPirate منصة الدفع Pix على وجه التحديد

تستهدف البرامج الضارة على وجه التحديد منصة الدفع الفوري Pix في البرازيل، بهدف تحويل الأموال إلى المهاجمين عن طريق اعتراض المعاملات الاحتيالية أو الشروع فيها. اكتسبت Pix شعبية كبيرة في البرازيل، حيث قام أكثر من 140 مليون مستخدم بإجراء معاملات تتجاوز 250 مليار دولار اعتبارًا من مارس 2023.

تعمل PixPirate على تعزيز إمكانات حصان طروادة للوصول عن بعد (RAT) لأتمتة العملية الاحتيالية بأكملها، بدءًا من التقاط بيانات اعتماد المستخدم ورموز المصادقة الثنائية وحتى تنفيذ عمليات تحويل أموال Pix غير المصرح بها، وكل ذلك بشكل خفي دون علم المستخدم. ومع ذلك، يتطلب تحقيق هذه المهام الحصول على أذونات خدمة الوصول.

بالإضافة إلى ذلك، يتضمن PixPirate آلية تحكم يدوية احتياطية للحالات التي تفشل فيها الأساليب الآلية، مما يوفر للمهاجمين وسيلة بديلة لتنفيذ الاحتيال على الجهاز. يسلط الباحثون الضوء أيضًا على استخدام البرامج الضارة للإعلانات الضارة لإشعارات الدفع وقدرتها على تعطيل Google Play Protect، وهي ميزة أمان أساسية لمنصة Android.

في حين أن طريقة الإصابة التي تستخدمها PixPirate ليست مبتكرة ويمكن تخفيفها عن طريق الامتناع عن تنزيل ملفات APK غير المصرح بها، فإن اعتمادها لاستراتيجيات مثل عدم وجود رمز وتسجيل الخدمات المرتبطة بأحداث النظام يمثل نهجًا جديدًا مثيرًا للقلق.