PixPirate Banking Troijalainen
Helmikuussa 2024 kyberturvallisuustutkijat toivat esiin aiemmin tuntemattoman Android-haittaohjelman, jota seurattiin nimellä PixPirate. Tätä uhkaa on käytetty kohdistetuissa hyökkäyksissä pankkeja vastaan Latinalaisessa Amerikassa. Tällä hetkellä asiantuntijat varoittavat, että PixPirate Banking Troijan päivitetty iteraatio on ilmestynyt, ja se sisältää uuden salaamistekniikan, joka mahdollistaa sen säilymisen laitteissa senkin jälkeen, kun sen dropper-sovellus on poistettu.
Sisällysluettelo
PixPirate käyttää kahta eri sovellusta pankkitietojen keräämiseen uhrien Android-puhelimista
Tutkijat ovat havainneet merkittävän poikkeaman haittaohjelmien, erityisesti PixPiraten, käyttämästä perinteisestä strategiasta. Toisin kuin tyypilliset haittaohjelmat, jotka pyrkivät piilottamaan kuvakkeensa, mikä on mahdollista Android-versioissa 9 asti, PixPirate ei sen sijaan käytä käynnistyskuvaketta kokonaan. Tämän ainutlaatuisen lähestymistavan ansiosta haittaohjelmat pysyvät piilossa uusimmissa Android-järjestelmissä aina versioon 14 asti. Kuvakkeen puuttuminen on kuitenkin toinen haaste: uhreille ei tarjota keinoja käynnistää haittaohjelma. Tämän ongelman kiertämiseksi PixPirate käyttää kahta erillistä sovellusta, jotka toimivat samanaikaisesti keräämään arkaluonteisia tietoja tartunnan saaneilta laitteilta.
Alkuperäinen sovellus, jota kutsutaan "latausohjelmaksi", levitetään APK:ina (Android Package Files) ja jaetaan tietojenkalasteluviesteillä alustoilla, kuten WhatsApp tai SMS. Asennuksen yhteydessä tämä lataussovellus pyytää pääsyä riskialttiisiin käyttöoikeuksiin, mukaan lukien esteettömyyspalvelut. Tämän jälkeen se hakee ja asentaa toisen sovelluksen, nimeltään "droppee", joka on salattu PixPirate-pankkihaittaohjelma.
"Droppee"-sovellus pidättäytyy ilmoittamasta ensisijaista toimintaa, jonka luettelossa on "android.intent.action.MAIN" ja "android.intent.category.LAUNCHER", mikä varmistaa, ettei aloitusnäytöltä ole kuvaketta, mikä tekee sen kokonaan. huomaamaton. Sen sijaan droppee-sovellus vie palvelun, jota muut sovellukset voivat käyttää. Latausohjelma muodostaa yhteyden tähän palveluun käynnistääkseen PixPirate-haittaohjelman tarpeen mukaan.
Erilaiset laukaisimet voivat käynnistää PixPirate Banking -troijalaisen suorittamisen
Sen lisäksi, että dropper-sovellus pystyy käynnistämään ja hallitsemaan haittaohjelmia, PixPiraten voivat laukaista myös erilaiset järjestelmätapahtumat, kuten laitteen käynnistyminen tai muutokset yhteyksissä, joita se valvoo aktiivisesti. Näin PixPirate voi toimia piilossa uhrin laitteen taustalla.
PixPiraten droppee-komponentti sisältää palvelun nimeltä "com.companian.date.sepherd", joka viedään ja varustettu tarkoituksenmukaisella suodattimella, joka käyttää mukautettua toimintoa "com.ticket.stage.Service". Kun lataaja aikoo aktivoida droppeen, se muodostaa yhteyden tähän palveluun käyttämällä 'BindService' API:a yhdessä 'BIND_AUTO_CREATE'-lipun kanssa. Tämä toiminto johtaa droppee-palvelun luomiseen ja suorittamiseen.
droppee-palvelun luomisen ja sitomisen jälkeen droppee APK käynnistetään ja aloittaa toimintansa. Tässä vaiheessa, vaikka uhri poistaisi lataussovelluksen laitteelta, PixPirate voi jatkaa toimintaansa useiden laitetapahtumien laukaisemana, samalla kun se piilottaa tehokkaasti läsnäolonsa käyttäjältä.
PixPirate kohdistaa Pix-maksualustaan erityisesti
Haittaohjelma kohdistuu erityisesti Brasilian Pix-pikamaksualustaan, jonka tarkoituksena on saada varoja hyökkääjille siepata tai käynnistää vilpillisiä tapahtumia. Pix on saavuttanut merkittävän suosion Brasiliassa, ja maaliskuussa 2023 yli 140 miljoonaa käyttäjää on tehnyt transaktioita yli 250 miljardilla dollarilla.
PixPirate hyödyntää Remote Access Trojan (RAT) -ominaisuuksia automatisoidakseen koko petollisen prosessin käyttäjien tunnistetietojen ja kaksivaiheisten todennuskoodien kaappaamisesta luvattomien Pix-rahasiirtojen suorittamiseen, kaikki salaa ilman käyttäjän tietoisuutta. Näiden tehtävien suorittaminen edellyttää kuitenkin esteettömyyspalvelun käyttöoikeuksien hankkimista.
Lisäksi PixPiratessa on manuaalinen varaohjausmekanismi tapauksia varten, joissa automaattiset menetelmät epäonnistuvat, mikä tarjoaa hyökkääjille vaihtoehtoisen tavan suorittaa petoksia laitteella. Tutkijat korostavat myös haittaohjelman hyödyntämistä push-ilmoitusten haittaohjelmissa ja sen kykyä poistaa käytöstä Google Play Protect, joka on Android-alustan perusturvaominaisuus.
Vaikka PixPiraten käyttämä tartuntamenetelmä ei ole uraauurtava ja sitä voidaan lieventää pidättäytymällä lataamasta luvattomia APK:ita, sen strategioiden, kuten kuvakkeen puuttuminen ja järjestelmätapahtumiin sidottujen palveluiden rekisteröinti, omaksuminen on huolestuttava ja uusi lähestymistapa.
