Банков троян PixPirate
През февруари 2024 г. изследователи в областта на киберсигурността разкриха съществуването на неизвестен досега зловреден софтуер за Android, проследяван като PixPirate. Тази заплаха е разгърната в целенасочени атаки срещу банки в Латинска Америка. В момента експертите предупреждават, че се е появила актуализирана итерация на троянския кон PixPirate Banking, включващ нова стелт техника, която му позволява да продължи да съществува на устройства дори след премахването на приложението му за капкомер.
Съдържание
PixPirate използва две различни приложения за събиране на банкова информация от Android телефоните на жертвите
Изследователите отбелязват значително отклонение от конвенционалната стратегия, използвана от зловреден софтуер, особено с PixPirate. За разлика от типичния злонамерен софтуер, който се опитва да скрие иконата си, тактика, възможна за версии на Android до 9, PixPirate вместо това не използва изцяло икона за стартиране. Този уникален подход позволява на злонамерения софтуер да остане скрит в последните системи с Android, разширявайки се до версия 14. Липсата на икона обаче представлява друго предизвикателство: не предоставя средства за жертвите да инициират злонамерения софтуер. За да заобиколи този проблем, PixPirate използва две различни приложения, които работят в тандем, за да събират чувствителни данни от заразените устройства.
Първоначалното приложение, наричано „програма за изтегляне“, се разпространява като APK (Android Package Files) и се разпространява чрез фишинг съобщения на платформи като WhatsApp или SMS. При инсталиране това приложение за изтегляне иска достъп до високорискови разрешения, включително услуги за достъпност. Впоследствие той продължава да извлича и инсталира второто приложение, наречено „droppee“, което е криптираният банков зловреден софтуер PixPirate.
Приложението „droppee“ се въздържа от деклариране на основна дейност с „android.intent.action.MAIN“ и „android.intent.category.LAUNCHER“ в своя манифест, като по този начин гарантира липсата на икона на началния екран, изобразявайки го изцяло незабележим. Вместо това приложението droppee експортира услуга, до която други приложения имат достъп. Програмата за изтегляне установява връзка с тази услуга, за да инициира стартирането на злонамерения софтуер PixPirate, както е необходимо.
Различни тригери могат да стартират изпълнението на банковия троян PixPirate
В допълнение към способността на приложението за капка да инициира и контролира злонамерения софтуер, PixPirate може също да се задейства от различни системни събития, като зареждане на устройство или промени в свързаността, които той активно наблюдава. Това позволява на PixPirate да работи скрито във фонов режим на устройството на жертвата.
Компонентът droppee на PixPirate разполага с услуга, наречена „com.companian.date.sepherd“, която се експортира и е оборудвана с филтър за намерения, използващ персонализираното действие „com.ticket.stage.Service“. Когато програмата за изтегляне възнамерява да активира droppee, тя установява връзка с тази услуга, като използва API „BindService“ заедно с флага „BIND_AUTO_CREATE“. Това действие води до създаване и изпълнение на услугата droppee.
След процеса на създаване и обвързване на услугата droppee, droppee APK се стартира и започва своите операции. В този момент, дори ако жертвата премахне приложението за изтегляне от устройството, PixPirate може да продължи да поддържа работата си, задействана от различни събития на устройството, като същевременно ефективно прикрива присъствието си от потребителя.
PixPirate е насочен специално към платформата за плащане Pix
Зловреден софтуер е насочен конкретно към платформата за незабавни плащания Pix в Бразилия, като цели да източи средства към нападателите чрез прихващане или иницииране на измамни транзакции. Pix придоби значителна популярност в Бразилия, с над 140 милиона потребители, извършващи транзакции над 250 милиарда долара към март 2023 г.
PixPirate използва възможностите на троянския кон за отдалечен достъп (RAT), за да автоматизира целия процес на измама, от улавяне на потребителски идентификационни данни и кодове за двуфакторно удостоверяване до извършване на неоторизирани парични преводи на Pix, всички тайно без знанието на потребителя. Постигането на тези задачи обаче изисква получаване на разрешения за услугата за достъпност.
Освен това PixPirate включва резервен механизъм за ръчно управление за случаи, когато автоматизираните методи се провалят, предоставяйки на нападателите алтернативни средства за извършване на измама на устройството. Изследователите също така подчертават използването на зловреден софтуер за злоупотреба с насочени известия и способността му да деактивира Google Play Protect, основна защитна функция на платформата Android.
Въпреки че методът на заразяване, използван от PixPirate, не е новаторски и може да бъде смекчен чрез въздържане от изтегляне на неоторизирани APK файлове, неговото приемане на стратегии като липса на икона и регистрация на услуги, обвързани със системни събития, представлява тревожен и нов подход.
