PixPirate Banking Trojan
Τον Φεβρουάριο του 2024, ερευνητές κυβερνοασφάλειας έφεραν στο φως την ύπαρξη ενός προηγουμένως άγνωστου κακόβουλου λογισμικού Android που παρακολουθείται ως PixPirate. Αυτή η απειλή έχει αναπτυχθεί σε στοχευμένες επιθέσεις κατά τραπεζών στη Λατινική Αμερική. Επί του παρόντος, οι ειδικοί προειδοποιούν ότι έχει εμφανιστεί μια ενημερωμένη επανάληψη του PixPirate Banking Trojan, η οποία διαθέτει μια νέα τεχνική stealth που του επιτρέπει να παραμένει σε συσκευές ακόμα και μετά την αφαίρεση της εφαρμογής σταγονόμετρου.
Πίνακας περιεχομένων
Το PixPirate χρησιμοποιεί δύο διαφορετικές εφαρμογές για τη συλλογή τραπεζικών πληροφοριών από τηλέφωνα Android των θυμάτων
Οι ερευνητές έχουν σημειώσει σημαντική απόκλιση από τη συμβατική στρατηγική που χρησιμοποιείται από κακόβουλο λογισμικό, ιδιαίτερα με το PixPirate. Σε αντίθεση με το τυπικό κακόβουλο λογισμικό που προσπαθεί να κρύψει το εικονίδιό του, μια τακτική που είναι δυνατή σε εκδόσεις Android έως 9, το PixPirate δεν χρησιμοποιεί εντελώς εικονίδιο εκκίνησης. Αυτή η μοναδική προσέγγιση επιτρέπει στο κακόβουλο λογισμικό να παραμείνει κρυφό στα πρόσφατα συστήματα Android, επεκτείνοντας μέχρι την έκδοση 14. Ωστόσο, η απουσία εικονιδίου αποτελεί μια άλλη πρόκληση: δεν παρέχει κανένα μέσο για τα θύματα να ξεκινήσουν το κακόβουλο λογισμικό. Για να παρακάμψει αυτό το ζήτημα, το PixPirate χρησιμοποιεί δύο ξεχωριστές εφαρμογές που λειτουργούν παράλληλα για τη συλλογή ευαίσθητων δεδομένων από τις μολυσμένες συσκευές.
Η αρχική εφαρμογή, που αναφέρεται ως «downloader», διαδίδεται ως APK (Android Package Files) και διανέμεται μέσω μηνυμάτων phishing σε πλατφόρμες όπως το WhatsApp ή το SMS. Κατά την εγκατάσταση, αυτή η εφαρμογή λήψης ζητά πρόσβαση σε άδειες υψηλού κινδύνου, συμπεριλαμβανομένων των Υπηρεσιών Προσβασιμότητας. Στη συνέχεια, προχωρά στην ανάκτηση και εγκατάσταση της δεύτερης εφαρμογής, που ονομάζεται «droppee», η οποία είναι το κρυπτογραφημένο τραπεζικό κακόβουλο λογισμικό PixPirate.
Η εφαρμογή "droppee" απέχει από τη δήλωση μιας κύριας δραστηριότητας με "android.intent.action.MAIN" και "android.intent.category.LAUNCHER" στο μανιφέστο της, διασφαλίζοντας έτσι την απουσία εικονιδίου στην αρχική οθόνη, αποδίδοντάς το εξ ολοκλήρου άσημος. Αντίθετα, η εφαρμογή droppee εξάγει μια υπηρεσία στην οποία μπορούν να έχουν πρόσβαση άλλες εφαρμογές. Το πρόγραμμα λήψης δημιουργεί μια σύνδεση με αυτήν την υπηρεσία για να ξεκινήσει η εκκίνηση του κακόβουλου λογισμικού PixPirate, όπως απαιτείται.
Διάφοροι ενεργοποιητές μπορούν να ξεκινήσουν την εκτέλεση του PixPirate Banking Trojan
Εκτός από την ικανότητα της εφαρμογής dropper να εκκινεί και να ελέγχει το κακόβουλο λογισμικό, το PixPirate μπορεί επίσης να ενεργοποιηθεί από διάφορα συμβάντα συστήματος, όπως εκκίνηση συσκευής ή αλλαγές στη συνδεσιμότητα, τις οποίες παρακολουθεί ενεργά. Αυτό επιτρέπει στο PixPirate να λειτουργεί κρυφά στο παρασκήνιο της συσκευής του θύματος.
Το στοιχείο droppee του PixPirate διαθέτει μια υπηρεσία με το όνομα "com.companian.date.sepherd", η οποία εξάγεται και είναι εξοπλισμένη με ένα φίλτρο πρόθεσης που χρησιμοποιεί την προσαρμοσμένη ενέργεια "com.ticket.stage.Service". Όταν το πρόγραμμα λήψης σκοπεύει να ενεργοποιήσει το droppee, δημιουργεί μια σύνδεση με αυτήν την υπηρεσία χρησιμοποιώντας το API «BindService» μαζί με τη σημαία «BIND_AUTO_CREATE». Αυτή η ενέργεια έχει ως αποτέλεσμα τη δημιουργία και την εκτέλεση της υπηρεσίας droppee.
Μετά τη διαδικασία δημιουργίας και δέσμευσης της υπηρεσίας droppee, το droppee APK εκκινείται και ξεκινά τη λειτουργία του. Σε αυτό το σημείο, ακόμη και αν το θύμα αφαιρέσει την εφαρμογή λήψης από τη συσκευή, το PixPirate μπορεί να συνεχίσει να διατηρεί τη λειτουργία του, που προκαλείται από διάφορα συμβάντα της συσκευής, ενώ ουσιαστικά αποκρύπτει την παρουσία του από τον χρήστη.
Το PixPirate στοχεύει συγκεκριμένα την πλατφόρμα πληρωμών Pix
Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα την πλατφόρμα άμεσων πληρωμών Pix στη Βραζιλία, με στόχο να αποσπάσει κεφάλαια στους εισβολείς παρεμποδίζοντας ή ξεκινώντας δόλιες συναλλαγές. Το Pix έχει αποκτήσει σημαντική δημοτικότητα στη Βραζιλία, με πάνω από 140 εκατομμύρια χρήστες να πραγματοποιούν συναλλαγές που ξεπερνούν τα 250 δισεκατομμύρια δολάρια από τον Μάρτιο του 2023.
Το PixPirate αξιοποιεί τις δυνατότητες Remote Access Trojan (RAT) για να αυτοματοποιήσει ολόκληρη τη δόλια διαδικασία, από τη λήψη διαπιστευτηρίων χρήστη και κωδικούς ελέγχου ταυτότητας δύο παραγόντων έως την εκτέλεση μη εξουσιοδοτημένων μεταφορών χρημάτων Pix, όλα κρυφά χωρίς την επίγνωση του χρήστη. Ωστόσο, για την επίτευξη αυτών των εργασιών απαιτείται η απόκτηση αδειών της Υπηρεσίας Προσβασιμότητας.
Επιπλέον, το PixPirate ενσωματώνει έναν εναλλακτικό μηχανισμό χειροκίνητου ελέγχου για περιπτώσεις όπου οι αυτοματοποιημένες μέθοδοι αποτυγχάνουν, παρέχοντας στους εισβολείς ένα εναλλακτικό μέσο για την πραγματοποίηση απάτης στη συσκευή. Οι ερευνητές υπογραμμίζουν επίσης τη χρήση κακόβουλης διαφήμισης από το κακόβουλο λογισμικό και την ικανότητά του να απενεργοποιεί το Google Play Protect, ένα θεμελιώδες χαρακτηριστικό ασφαλείας της πλατφόρμας Android.
Αν και η μέθοδος μόλυνσης που χρησιμοποιείται από το PixPirate δεν είναι πρωτοποριακή και μπορεί να μετριαστεί με την αποχή από τη λήψη μη εξουσιοδοτημένων APK, η υιοθέτηση στρατηγικών όπως η απουσία εικονιδίου και η καταχώριση υπηρεσιών που συνδέονται με συμβάντα συστήματος αντιπροσωπεύει μια ανησυχητική και καινοτόμο προσέγγιση.
