PixPirate Banking Trojan
I februar 2024 afslørede cybersikkerhedsforskere eksistensen af en hidtil ukendt Android-malware sporet som PixPirate. Denne trussel er blevet indsat i målrettede angreb mod banker i Latinamerika. I øjeblikket advarer eksperter om, at en opdateret iteration af PixPirate Banking Trojan er dukket op, med en ny stealth-teknik, der gør det muligt at fortsætte på enheder, selv efter dets dropper-applikation er blevet fjernet.
Indholdsfortegnelse
PixPirate bruger to forskellige applikationer til at indsamle bankoplysninger fra ofrenes Android-telefoner
Forskere har bemærket en betydelig afvigelse fra den konventionelle strategi, der anvendes af malware, især med PixPirate. I modsætning til typisk malware, der bestræber sig på at skjule sit ikon, en taktik der er mulig på Android-versioner op til 9, bruger PixPirate i stedet ikke et launcher-ikon helt. Denne unikke tilgang gør det muligt for malware at forblive skjult på de seneste Android-systemer, der strækker sig op til version 14. Men fraværet af et ikon udgør en anden udfordring: at give ofrene ingen mulighed for at starte malwaren. For at omgå dette problem anvender PixPirate to særskilte applikationer, der arbejder sammen om at høste følsomme data fra de inficerede enheder.
Den oprindelige applikation, kaldet 'downloaderen', spredes som APK'er (Android-pakkefiler) og distribueres via phishing-beskeder på platforme som WhatsApp eller SMS. Efter installationen anmoder denne downloader-applikation om adgang til højrisikotilladelser, herunder tilgængelighedstjenester. Efterfølgende fortsætter den med at hente og installere den anden applikation, kaldet 'droppee', som er den krypterede PixPirate bank malware.
Applikationen 'droppee' afholder sig fra at erklære en primær aktivitet med 'android.intent.action.MAIN' og 'android.intent.category.LAUNCHER' i sit manifest, og sikrer derved fraværet af et ikon på startskærmen, hvilket gør det fuldstændigt. upåfaldende. I stedet eksporterer frafaldsapplikationen en tjeneste, som andre applikationer kan få adgang til. Downloaderen etablerer en forbindelse til denne tjeneste for at starte lanceringen af PixPirate-malwaren efter behov.
Forskellige triggere kan starte udførelsen af PixPirate Banking Trojan
Ud over dropper-applikationens evne til at starte og kontrollere malwaren, kan PixPirate også udløses af forskellige systemhændelser, såsom enhedsstart eller ændringer i forbindelse, som den aktivt overvåger. Dette gør det muligt for PixPirate at fungere i det skjulte i baggrunden af ofrets enhed.
Dropee-komponenten i PixPirate har en tjeneste ved navn 'com.companian.date.sepherd', som eksporteres og er udstyret med et hensigtsfilter, der bruger den tilpassede handling 'com.ticket.stage.Service'. Når downloaderen har til hensigt at aktivere fraskriveren, etablerer den en forbindelse med denne service ved at bruge 'BindService' API'et sammen med flaget 'BIND_AUTO_CREATE'. Denne handling resulterer i oprettelse og udførelse af frafaldstjenesten.
Efter oprettelsen og bindingsprocessen af frafaldstjenesten, lanceres APK-filen for fraskrivelse og begynder sin drift. På dette tidspunkt, selvom offeret fjerner downloader-applikationen fra enheden, kan PixPirate fortsætte med at opretholde sin drift, udløst af forskellige enhedsbegivenheder, mens den effektivt skjuler sin tilstedeværelse for brugeren.
PixPirate retter sig specifikt mod Pix-betalingsplatformen
Malwaren er specifikt rettet mod Pix-instant-betalingsplatformen i Brasilien, med det formål at overføre penge til angribere ved at opsnappe eller indlede svigagtige transaktioner. Pix har vundet betydelig popularitet i Brasilien, hvor over 140 millioner brugere udfører transaktioner på over 250 milliarder dollars i marts 2023.
PixPirate udnytter Remote Access Trojan-funktioner (RAT) til at automatisere hele den svigagtige proces, fra indsamling af brugeroplysninger og tofaktorautentificeringskoder til at udføre uautoriserede Pix-pengeoverførsler, alt sammen snigende uden brugerbevidsthed. Men opnåelse af disse opgaver kræver, at du opnår Accessibility Service-tilladelser.
Derudover inkorporerer PixPirate en reservemanuel kontrolmekanisme til tilfælde, hvor automatiserede metoder fejler, hvilket giver angribere et alternativt middel til at udføre svindel på enheden. Forskere fremhæver også malwarens brug af push-notifikationsmalvertising og dens evne til at deaktivere Google Play Protect, en grundlæggende sikkerhedsfunktion på Android-platformen.
Selvom den infektionsmetode, der anvendes af PixPirate, ikke er banebrydende og kan afbødes ved at afstå fra at downloade uautoriserede APK'er, repræsenterer dens vedtagelse af strategier såsom fravær af et ikon og registrering af tjenester bundet til systemhændelser en bekymrende og ny tilgang.
