PixPirate Banking Trooja
2024. aasta veebruaris tõid küberjulgeoleku teadlased päevavalgele varem tundmatu Androidi pahavara olemasolu, mida jälgiti nime all PixPirate. Seda ohtu on kasutatud Ladina-Ameerika pankade vastu suunatud rünnakutes. Praegu hoiatavad eksperdid, et on ilmunud PixPirate Banking Trooja uuendatud iteratsioon, mis sisaldab uut varjamistehnikat, mis võimaldab sellel seadmetes püsida ka pärast tilgutirakenduse eemaldamist.
Sisukord
PixPirate kasutab ohvrite Android-telefonidest pangateabe kogumiseks kahte erinevat rakendust
Teadlased on märganud märkimisväärset kõrvalekallet pahavara tavapärasest strateegiast, eriti PixPirate'i puhul. Erinevalt tüüpilisest pahavarast, mis püüab oma ikooni varjata, mis on Androidi versioonides kuni 9 võimalik, ei kasuta PixPirate selle asemel käivitusikooni. See ainulaadne lähenemine võimaldab pahavara uutes Androidi süsteemides peidetuks jääda, ulatudes kuni versioonini 14. Ikooni puudumine kujutab aga endast veel üht väljakutset: ei võimalda ohvritel pahavara algatada. Sellest probleemist kõrvalehoidmiseks kasutab PixPirate kahte erinevat rakendust, mis töötavad paralleelselt, et koguda nakatunud seadmetest tundlikke andmeid.
Esialgne rakendus, mida nimetatakse allalaadijaks, levitatakse APK-dena (Androidi pakettfailidena) ja andmepüügisõnumite kaudu platvormidel, nagu WhatsApp või SMS. Installimisel taotleb see allalaadimisrakendus juurdepääsu kõrge riskiga lubadele, sealhulgas juurdepääsetavuse teenustele. Seejärel laadib ja installib see teise rakenduse, mille nimeks on "droppee", mis on krüpteeritud PixPirate panganduse pahavara.
Rakendus „droppee” hoidub deklareerimast peamist tegevust, mille manifestis on „android.intent.action.MAIN” ja „android.intent.category.LAUNCHER”, tagades sellega ikooni puudumise avakuval, renderdades selle täielikult silmapaistmatu. Selle asemel ekspordib droppee rakendus teenuse, millele teised rakendused pääsevad juurde. Allalaadija loob selle teenusega ühenduse, et käivitada vastavalt vajadusele PixPirate pahavara.
Erinevad päästikud võivad käivitada PixPirate Banking troojalase käivitamise
Lisaks tilgutirakenduse võimele pahavara algatada ja juhtida, võivad PixPirate'i käivitada ka mitmesugused süsteemisündmused, nagu seadme käivitamine või ühenduvuse muutused, mida ta aktiivselt jälgib. See võimaldab PixPiratel ohvri seadme taustal salaja tegutseda.
PixPirate'i droppee-komponent sisaldab teenust nimega com.companian.date.sepherd, mis eksporditakse ja on varustatud kavatsuste filtriga, mis kasutab kohandatud toimingut com.ticket.stage.Service. Kui allalaadija kavatseb droppee aktiveerida, loob ta selle teenusega ühenduse, kasutades 'BindService' API-t koos lipuga 'BIND_AUTO_CREATE'. Selle toimingu tulemuseks on droppee teenuse loomine ja käivitamine.
Pärast droppee teenuse loomist ja sidumist käivitatakse droppee APK ja see alustab oma tööd. Sel hetkel, isegi kui ohver eemaldab seadmest allalaadimisrakenduse, saab PixPirate jätkata oma tööd, mille käivitavad erinevad seadme sündmused, varjates samal ajal oma kohalolekut kasutaja eest.
PixPirate sihib konkreetselt Pixi makseplatvormi
Pahavara sihib konkreetselt Brasiilias asuvat Pixi kiirmaksete platvormi, mille eesmärk on raha hankida ründajatele, pealtkuulades või algatades petturlikke tehinguid. Pix on saavutanud Brasiilias märkimisväärse populaarsuse – 2023. aasta märtsi seisuga on üle 140 miljoni kasutaja teinud tehinguid, mis ületasid 250 miljardit dollarit.
PixPirate kasutab kaugjuurdepääsu trooja (RAT) võimalusi, et automatiseerida kogu petturlik protsess, alates kasutaja mandaatide ja kahefaktoriliste autentimiskoodide hõivamisest kuni Pix'i volitamata rahaülekanneteni, seda kõike vargsi ilma kasutaja teadmata. Nende ülesannete täitmine nõuab aga juurdepääsuteenuse lubade hankimist.
Lisaks sisaldab PixPirate varu käsitsijuhtimismehhanismi juhtudel, kui automatiseeritud meetodid ebaõnnestuvad, pakkudes ründajatele alternatiivseid vahendeid seadmes pettuste läbiviimiseks. Teadlased rõhutavad ka, et pahavara kasutab tõukemärguannete pahatahtlikku reklaami ja selle võimet keelata Google Play Protect, mis on Androidi platvormi põhiline turvafunktsioon.
Kuigi PixPirate'i kasutatav nakatumismeetod ei ole murranguline ja seda saab leevendada volitamata APK-de allalaadimisest hoidumisega, on selle strateegiate (nt ikooni puudumine ja süsteemisündmustega seotud teenuste registreerimine) kasutuselevõtt murettekitav ja uudne lähenemisviis.
