Troià bancari PixPirate
El febrer de 2024, els investigadors de ciberseguretat van posar de manifest l'existència d'un programari maliciós d'Android desconegut anteriorment, rastrejat com PixPirate. Aquesta amenaça s'ha desplegat en atacs dirigits contra bancs d'Amèrica Llatina. Actualment, els experts adverteixen que ha aparegut una iteració actualitzada del troià bancari PixPirate, que inclou una nova tècnica sigil·la que li permet persistir als dispositius fins i tot després d'haver eliminat la seva aplicació de comptagotes.
Taula de continguts
PixPirate utilitza dues aplicacions diferents per recollir informació bancària dels telèfons Android de les víctimes
Els investigadors han observat una desviació significativa de l'estratègia convencional emprada pel programari maliciós, especialment amb PixPirate. A diferència del programari maliciós típic que intenta ocultar la seva icona, una tàctica possible a les versions d'Android fins a la 9, PixPirate no utilitza la icona del llançador del tot. Aquest enfocament únic permet que el programari maliciós romangui ocult als sistemes Android recents, ampliant-se fins a la versió 14. Tanmateix, l'absència d'una icona presenta un altre repte: no proporcionar cap mitjà perquè les víctimes iniciïn el programari maliciós. Per evitar aquest problema, PixPirate utilitza dues aplicacions diferents que funcionen conjuntament per recollir dades sensibles dels dispositius infectats.
L'aplicació inicial, anomenada "descàrrega", es distribueix com a APK (Fitxers de paquets d'Android) i es distribueix mitjançant missatges de pesca a plataformes com WhatsApp o SMS. Després de la instal·lació, aquesta aplicació de descàrrega sol·licita accés a permisos d'alt risc, inclosos els serveis d'accessibilitat. Posteriorment, procedeix a buscar i instal·lar la segona aplicació, anomenada "droppee", que és el programari maliciós bancari xifrat PixPirate.
L'aplicació 'droppee' s'absté de declarar una activitat principal amb 'android.intent.action.MAIN' i 'android.intent.category.LAUNCHER' al seu manifest, assegurant així l'absència d'una icona a la pantalla d'inici i render-la completament discret. En canvi, l'aplicació droppee exporta un servei al qual poden accedir altres aplicacions. El descarregador estableix una connexió amb aquest servei per iniciar el llançament del programari maliciós PixPirate segons sigui necessari.
Diversos desencadenants poden iniciar l’execució del troià bancari PixPirate
A més de la capacitat de l'aplicació dropper per iniciar i controlar el programari maliciós, PixPirate també es pot activar per diversos esdeveniments del sistema, com ara l'arrencada del dispositiu o canvis en la connectivitat, que supervisa activament. Això permet que PixPirate funcioni de manera subrepticia en el fons del dispositiu de la víctima.
El component droppee de PixPirate inclou un servei anomenat "com.companian.date.sepherd", que s'exporta i està equipat amb un filtre d'intencions que utilitza l'acció personalitzada "com.ticket.stage.Service". Quan el descarregador té la intenció d'activar el droppee, estableix una connexió amb aquest servei utilitzant l'API "BindService" juntament amb la marca "BIND_AUTO_CREATE". Aquesta acció dóna lloc a la creació i execució del servei droppee.
Després del procés de creació i vinculació del servei droppee, es llança l'APK droppee i comença les seves operacions. En aquest punt, fins i tot si la víctima elimina l'aplicació de descàrrega del dispositiu, PixPirate pot continuar mantenint el seu funcionament, provocat per diversos esdeveniments del dispositiu, alhora que oculta de manera efectiva la seva presència a l'usuari.
PixPirate s’adreça específicament a la plataforma de pagament Pix
El programari maliciós s'adreça específicament a la plataforma de pagament instantani Pix al Brasil, amb l'objectiu de desviar fons als atacants interceptant o iniciant transaccions fraudulentes. Pix ha guanyat una popularitat important al Brasil, amb més de 140 milions d'usuaris realitzant transaccions que superen els 250.000 milions de dòlars al març de 2023.
PixPirate aprofita les capacitats de troià d'accés remot (RAT) per automatitzar tot el procés fraudulent, des de la captura de credencials d'usuari i codis d'autenticació de dos factors fins a l'execució de transferències de diners Pix no autoritzades, tot de manera sigilosa sense que l'usuari tingui coneixement. Tanmateix, per assolir aquestes tasques cal obtenir els permisos del Servei d'accessibilitat.
A més, PixPirate incorpora un mecanisme de control manual alternatiu per als casos en què els mètodes automatitzats fallen, proporcionant als atacants un mitjà alternatiu per dur a terme fraus al dispositiu. Els investigadors també destaquen la utilització del programari maliciós de la publicitat de notificacions push i la seva capacitat per desactivar Google Play Protect, una característica de seguretat fonamental de la plataforma Android.
Tot i que el mètode d'infecció emprat per PixPirate no és innovador i es pot mitigar abstenint-se de descarregar APK no autoritzats, la seva adopció d'estratègies com l'absència d'una icona i el registre de serveis vinculats a esdeveniments del sistema representa un enfocament preocupant i nou.
