تروجان بانکی PixPirate

در فوریه 2024، محققان امنیت سایبری وجود بدافزار اندرویدی ناشناخته قبلی را که با نام PixPirate ردیابی شده بود، آشکار کردند. این تهدید در حملات هدفمند علیه بانک ها در آمریکای لاتین به کار گرفته شده است. در حال حاضر، کارشناسان هشدار می دهند که یک نسخه به روز شده از تروجان بانکی PixPirate ظاهر شده است که دارای یک تکنیک مخفی جدید است که آن را قادر می سازد حتی پس از حذف برنامه قطره چکان روی دستگاه ها باقی بماند.

PixPirate از دو برنامه مختلف برای جمع آوری اطلاعات بانکی از تلفن های اندرویدی قربانیان استفاده می کند.

محققان به انحراف قابل توجهی از استراتژی مرسوم استفاده شده توسط بدافزارها، به ویژه PixPirate اشاره کرده‌اند. برخلاف بدافزارهای معمولی که تلاش می‌کنند نماد خود را پنهان کنند، تاکتیکی که در نسخه‌های اندروید تا ۹ نسخه ممکن است، PixPirate در عوض از نماد راه‌انداز استفاده نمی‌کند. این رویکرد منحصربه‌فرد بدافزار را قادر می‌سازد تا در سیستم‌های اندروید اخیر مخفی بماند و تا نسخه 14 گسترش یابد. با این حال، نبود نماد چالش دیگری را ایجاد می‌کند: ارائه هیچ وسیله‌ای برای قربانیان برای راه‌اندازی بدافزار. برای دور زدن این مشکل، PixPirate از دو برنامه کاربردی مجزا استفاده می کند که برای جمع آوری داده های حساس از دستگاه های آلوده به صورت پشت سر هم کار می کنند.

برنامه اولیه که به آن «دانلودکننده» گفته می‌شود، به‌صورت APK (فایل‌های بسته اندروید) پخش می‌شود و از طریق پیام‌های فیشینگ در پلتفرم‌هایی مانند WhatsApp یا SMS توزیع می‌شود. پس از نصب، این برنامه دانلودکننده درخواست دسترسی به مجوزهای پرخطر، از جمله خدمات دسترس‌پذیری را می‌دهد. متعاقباً، به واکشی و نصب دومین برنامه به نام «droppee» که بدافزار بانکی PixPirate رمزگذاری شده است، ادامه می‌دهد.

برنامه «droppee» از اعلام فعالیت اولیه با «android.intent.action.MAIN» و «android.intent.category.LAUNCHER» در مانیفست خود خودداری می‌کند، در نتیجه از عدم وجود نماد در صفحه اصلی اطمینان حاصل می‌کند و به طور کامل آن را ارائه می‌کند. نامحسوس در عوض، برنامه droppee سرویسی را صادر می کند که سایر برنامه ها می توانند به آن دسترسی داشته باشند. دانلود کننده اتصالی به این سرویس برقرار می کند تا در صورت نیاز، بدافزار PixPirate را راه اندازی کند.

تریگرهای مختلف می توانند اجرای تروجان بانکی PixPirate را شروع کنند

علاوه بر قابلیت برنامه dropper برای راه‌اندازی و کنترل بدافزار، PixPirate همچنین می‌تواند توسط رویدادهای مختلف سیستم، مانند راه‌اندازی دستگاه یا تغییرات در اتصال، که فعالانه آن‌ها را نظارت می‌کند، فعال شود. این به PixPirate اجازه می دهد تا به طور مخفیانه در پس زمینه دستگاه قربانی کار کند.

مؤلفه droppee PixPirate دارای سرویسی به نام «com.companian.date.sepherd» است که با استفاده از عملکرد سفارشی «com.ticket.stage.Service» صادر شده و به فیلتر هدف مجهز شده است. هنگامی که دانلود کننده قصد فعال کردن droppee را دارد، با استفاده از "BindService" API به همراه پرچم "BIND_AUTO_CREATE" با این سرویس ارتباط برقرار می کند. این عمل منجر به ایجاد و اجرای سرویس droppee می شود.

پس از ایجاد و فرآیند اتصال سرویس droppee، droppee APK راه اندازی شده و عملیات خود را آغاز می کند. در این مرحله، حتی اگر قربانی برنامه دانلودر را از دستگاه حذف کند، PixPirate می‌تواند به عملکرد خود ادامه دهد، که توسط رویدادهای مختلف دستگاه ایجاد می‌شود، در حالی که به طور موثر حضور خود را از کاربر پنهان می‌کند.

PixPirate به طور خاص پلتفرم پرداخت Pix را هدف قرار می دهد

این بدافزار به طور خاص پلتفرم پرداخت آنی Pix در برزیل را هدف قرار می دهد و هدفش این است که با رهگیری یا شروع تراکنش های جعلی، وجوه را به مهاجمان منتقل کند. Pix محبوبیت قابل توجهی در برزیل به دست آورده است و بیش از 140 میلیون کاربر تراکنش های بیش از 250 میلیارد دلار را تا مارس 2023 انجام می دهند.

PixPirate از قابلیت‌های تروجان دسترسی از راه دور (RAT) برای خودکارسازی کل فرآیند کلاهبرداری، از گرفتن اطلاعات کاربری و کدهای احراز هویت دو مرحله‌ای گرفته تا اجرای نقل و انتقالات غیرمجاز پول Pix، همه به صورت مخفیانه و بدون آگاهی کاربر استفاده می‌کند. با این حال، دستیابی به این وظایف مستلزم دریافت مجوزهای Accessibility Service است.

علاوه بر این، PixPirate یک مکانیسم کنترل دستی بازگشتی را برای مواردی که روش‌های خودکار شکست می‌خورند، در اختیار مهاجمان قرار می‌دهد و ابزاری جایگزین برای انجام کلاهبرداری در دستگاه فراهم می‌کند. محققان همچنین استفاده بدافزار از تبلیغات نادرست Push Notification و توانایی آن در غیرفعال کردن Google Play Protect، یکی از ویژگی‌های امنیتی اساسی پلتفرم اندروید را برجسته می‌کنند.

در حالی که روش آلودگی به کار گرفته شده توسط PixPirate پیشگامانه نیست و می توان آن را با خودداری از دانلود فایل های APK غیرمجاز کاهش داد، اتخاذ استراتژی هایی مانند عدم وجود نماد و ثبت سرویس های مرتبط با رویدادهای سیستم، رویکردی نگران کننده و جدید است.