PixPirate Banking Trojan
V únoru 2024 výzkumníci kybernetické bezpečnosti odhalili existenci dříve neznámého malwaru pro Android sledovaného jako PixPirate. Tato hrozba byla nasazena při cílených útocích proti bankám v Latinské Americe. V současné době odborníci varují, že se objevila aktualizovaná iterace trojského koně PixPirate Banking, který obsahuje novou techniku stealth, která mu umožňuje přetrvávat na zařízeních i poté, co byla jeho aplikace dropper odstraněna.
Obsah
PixPirate využívá dvě různé aplikace ke shromažďování bankovních informací z telefonů obětí Android
Výzkumníci zaznamenali významný odklon od konvenční strategie používané malwarem, zejména s PixPirate. Na rozdíl od typického malwaru, který se snaží skrýt svou ikonu, což je taktika možná ve verzích Androidu do 9, PixPirate místo toho nepoužívá ikonu spouštěče úplně. Tento jedinečný přístup umožňuje, aby malware zůstal skrytý na nejnovějších systémech Android, a to až do verze 14. Absence ikony však představuje další výzvu: neposkytnout obětem žádné prostředky ke spuštění malwaru. Aby se tento problém obešel, PixPirate využívá dvě odlišné aplikace, které spolupracují na sběru citlivých dat z infikovaných zařízení.
Počáteční aplikace, označovaná jako „downloader“, se šíří jako soubory APK (Android Package Files) a distribuuje se prostřednictvím phishingových zpráv na platformách, jako je WhatsApp nebo SMS. Po instalaci tato aplikace pro stahování požaduje přístup k vysoce rizikovým oprávněním, včetně služeb usnadnění. Následně přistoupí k načtení a instalaci druhé aplikace nazvané „droppee“, což je šifrovaný bankovní malware PixPirate.
Aplikace 'droppee' se zdržuje deklarování primární aktivity s 'android.intent.action.MAIN' a 'android.intent.category.LAUNCHER' ve svém manifestu, čímž zajišťuje absenci ikony na domovské obrazovce, čímž ji zcela vykreslí nenápadný. Místo toho aplikace droppee exportuje službu, ke které mají přístup jiné aplikace. Downloader naváže připojení k této službě, aby podle potřeby zahájil spuštění malwaru PixPirate.
Různé spouštěče mohou spustit spuštění PixPirate Banking Trojan
Kromě schopnosti kapací aplikace iniciovat a ovládat malware může být PixPirate spouštěn také různými systémovými událostmi, jako je bootování zařízení nebo změny v konektivitě, které aktivně sleduje. To umožňuje PixPirate pracovat skrytě na pozadí zařízení oběti.
Komponenta droppee PixPirate obsahuje službu s názvem 'com.companian.date.sepherd', která je exportována a vybavena filtrem záměrů využívajícím vlastní akci 'com.ticket.stage.Service.' Když downloader zamýšlí aktivovat droppee, naváže spojení s touto službou pomocí 'BindService' API spolu s příznakem 'BIND_AUTO_CREATE'. Tato akce má za následek vytvoření a spuštění služby droppee.
Po vytvoření a navázání služby droppee se spustí a zahájí provoz droppee APK. V tomto okamžiku, i když oběť odstraní stahovací aplikaci ze zařízení, PixPirate může pokračovat v provozu, spouštěném různými událostmi zařízení, a zároveň účinně skrývat svou přítomnost před uživatelem.
PixPirate se zaměřuje konkrétně na platební platformu Pix
Malware se konkrétně zaměřuje na platformu okamžitých plateb Pix v Brazílii s cílem získat finanční prostředky útočníkům zachycováním nebo zahájením podvodných transakcí. Pix si v Brazílii získal značnou oblibu, k březnu 2023 provedlo více než 140 milionů uživatelů transakce přesahující 250 miliard USD.
PixPirate využívá schopnosti vzdáleného přístupu Trojan (RAT) k automatizaci celého podvodného procesu, od získání uživatelských pověření a dvoufaktorových ověřovacích kódů až po provádění neautorizovaných převodů peněz Pix, to vše tajně bez vědomí uživatele. Dosažení těchto úkolů však vyžaduje získání oprávnění služby usnadnění.
PixPirate navíc obsahuje záložní ruční kontrolní mechanismus pro případy, kdy automatické metody selžou, a poskytuje útočníkům alternativní prostředky k provedení podvodu na zařízení. Výzkumníci také zdůrazňují, že malware využívá malwarovou malware push notifikace a jeho schopnost deaktivovat Google Play Protect, základní bezpečnostní funkci platformy Android.
Zatímco metoda infekce, kterou používá PixPirate, není převratná a lze ji zmírnit tím, že se zdrží stahování neautorizovaných souborů APK, její přijetí strategií, jako je absence ikony a registrace služeb vázaných na systémové události, představuje znepokojivý a nový přístup.
