تروجان بانکی PixPirate
در فوریه 2024، محققان امنیت سایبری وجود بدافزار اندرویدی ناشناخته قبلی را که با نام PixPirate ردیابی شده بود، آشکار کردند. این تهدید در حملات هدفمند علیه بانک ها در آمریکای لاتین به کار گرفته شده است. در حال حاضر، کارشناسان هشدار می دهند که یک نسخه به روز شده از تروجان بانکی PixPirate ظاهر شده است که دارای یک تکنیک مخفی جدید است که آن را قادر می سازد حتی پس از حذف برنامه قطره چکان روی دستگاه ها باقی بماند.
فهرست مطالب
PixPirate از دو برنامه مختلف برای جمع آوری اطلاعات بانکی از تلفن های اندرویدی قربانیان استفاده می کند.
محققان به انحراف قابل توجهی از استراتژی مرسوم استفاده شده توسط بدافزارها، به ویژه PixPirate اشاره کردهاند. برخلاف بدافزارهای معمولی که تلاش میکنند نماد خود را پنهان کنند، تاکتیکی که در نسخههای اندروید تا ۹ نسخه ممکن است، PixPirate در عوض از نماد راهانداز استفاده نمیکند. این رویکرد منحصربهفرد بدافزار را قادر میسازد تا در سیستمهای اندروید اخیر مخفی بماند و تا نسخه 14 گسترش یابد. با این حال، نبود نماد چالش دیگری را ایجاد میکند: ارائه هیچ وسیلهای برای قربانیان برای راهاندازی بدافزار. برای دور زدن این مشکل، PixPirate از دو برنامه کاربردی مجزا استفاده می کند که برای جمع آوری داده های حساس از دستگاه های آلوده به صورت پشت سر هم کار می کنند.
برنامه اولیه که به آن «دانلودکننده» گفته میشود، بهصورت APK (فایلهای بسته اندروید) پخش میشود و از طریق پیامهای فیشینگ در پلتفرمهایی مانند WhatsApp یا SMS توزیع میشود. پس از نصب، این برنامه دانلودکننده درخواست دسترسی به مجوزهای پرخطر، از جمله خدمات دسترسپذیری را میدهد. متعاقباً، به واکشی و نصب دومین برنامه به نام «droppee» که بدافزار بانکی PixPirate رمزگذاری شده است، ادامه میدهد.
برنامه «droppee» از اعلام فعالیت اولیه با «android.intent.action.MAIN» و «android.intent.category.LAUNCHER» در مانیفست خود خودداری میکند، در نتیجه از عدم وجود نماد در صفحه اصلی اطمینان حاصل میکند و به طور کامل آن را ارائه میکند. نامحسوس در عوض، برنامه droppee سرویسی را صادر می کند که سایر برنامه ها می توانند به آن دسترسی داشته باشند. دانلود کننده اتصالی به این سرویس برقرار می کند تا در صورت نیاز، بدافزار PixPirate را راه اندازی کند.
تریگرهای مختلف می توانند اجرای تروجان بانکی PixPirate را شروع کنند
علاوه بر قابلیت برنامه dropper برای راهاندازی و کنترل بدافزار، PixPirate همچنین میتواند توسط رویدادهای مختلف سیستم، مانند راهاندازی دستگاه یا تغییرات در اتصال، که فعالانه آنها را نظارت میکند، فعال شود. این به PixPirate اجازه می دهد تا به طور مخفیانه در پس زمینه دستگاه قربانی کار کند.
مؤلفه droppee PixPirate دارای سرویسی به نام «com.companian.date.sepherd» است که با استفاده از عملکرد سفارشی «com.ticket.stage.Service» صادر شده و به فیلتر هدف مجهز شده است. هنگامی که دانلود کننده قصد فعال کردن droppee را دارد، با استفاده از "BindService" API به همراه پرچم "BIND_AUTO_CREATE" با این سرویس ارتباط برقرار می کند. این عمل منجر به ایجاد و اجرای سرویس droppee می شود.
پس از ایجاد و فرآیند اتصال سرویس droppee، droppee APK راه اندازی شده و عملیات خود را آغاز می کند. در این مرحله، حتی اگر قربانی برنامه دانلودر را از دستگاه حذف کند، PixPirate میتواند به عملکرد خود ادامه دهد، که توسط رویدادهای مختلف دستگاه ایجاد میشود، در حالی که به طور موثر حضور خود را از کاربر پنهان میکند.
PixPirate به طور خاص پلتفرم پرداخت Pix را هدف قرار می دهد
این بدافزار به طور خاص پلتفرم پرداخت آنی Pix در برزیل را هدف قرار می دهد و هدفش این است که با رهگیری یا شروع تراکنش های جعلی، وجوه را به مهاجمان منتقل کند. Pix محبوبیت قابل توجهی در برزیل به دست آورده است و بیش از 140 میلیون کاربر تراکنش های بیش از 250 میلیارد دلار را تا مارس 2023 انجام می دهند.
PixPirate از قابلیتهای تروجان دسترسی از راه دور (RAT) برای خودکارسازی کل فرآیند کلاهبرداری، از گرفتن اطلاعات کاربری و کدهای احراز هویت دو مرحلهای گرفته تا اجرای نقل و انتقالات غیرمجاز پول Pix، همه به صورت مخفیانه و بدون آگاهی کاربر استفاده میکند. با این حال، دستیابی به این وظایف مستلزم دریافت مجوزهای Accessibility Service است.
علاوه بر این، PixPirate یک مکانیسم کنترل دستی بازگشتی را برای مواردی که روشهای خودکار شکست میخورند، در اختیار مهاجمان قرار میدهد و ابزاری جایگزین برای انجام کلاهبرداری در دستگاه فراهم میکند. محققان همچنین استفاده بدافزار از تبلیغات نادرست Push Notification و توانایی آن در غیرفعال کردن Google Play Protect، یکی از ویژگیهای امنیتی اساسی پلتفرم اندروید را برجسته میکنند.
در حالی که روش آلودگی به کار گرفته شده توسط PixPirate پیشگامانه نیست و می توان آن را با خودداری از دانلود فایل های APK غیرمجاز کاهش داد، اتخاذ استراتژی هایی مانند عدم وجود نماد و ثبت سرویس های مرتبط با رویدادهای سیستم، رویکردی نگران کننده و جدید است.