PixPirate bankarski trojanac
U veljači 2024. istraživači kibernetičke sigurnosti iznijeli su na vidjelo postojanje prethodno nepoznatog zlonamjernog softvera za Android koji se prati kao PixPirate. Ova je prijetnja korištena u ciljanim napadima na banke u Latinskoj Americi. Trenutačno stručnjaci upozoravaju da se pojavila ažurirana iteracija bankarskog trojanca PixPirate, koja sadrži novu stealth tehniku koja mu omogućuje da opstane na uređajima čak i nakon što je uklonjena njegova dropper aplikacija.
Sadržaj
PixPirate koristi dvije različite aplikacije za prikupljanje bankovnih podataka s Android telefona žrtava
Istraživači su primijetili značajno odstupanje od konvencionalne strategije koju koristi zlonamjerni softver, osobito s PixPirateom. Za razliku od tipičnog zlonamjernog softvera koji nastoji sakriti svoju ikonu, što je taktika moguća na verzijama Androida do 9, PixPirate umjesto toga uopće ne koristi ikonu pokretača. Ovaj jedinstveni pristup omogućuje zlonamjernom softveru da ostane skriven na najnovijim Android sustavima, proširujući se do verzije 14. Međutim, nepostojanje ikone predstavlja još jedan izazov: ne pruža način da žrtve pokrenu zlonamjerni softver. Kako bi zaobišao ovaj problem, PixPirate koristi dvije različite aplikacije koje rade u tandemu kako bi skupile osjetljive podatke sa zaraženih uređaja.
Početna aplikacija, koja se naziva "downloader", širi se kao APK (Android Package Files) i distribuira putem phishing poruka na platformama kao što su WhatsApp ili SMS. Nakon instalacije, ova aplikacija za preuzimanje zahtijeva pristup dopuštenjima visokog rizika, uključujući usluge pristupačnosti. Zatim nastavlja dohvaćati i instalirati drugu aplikaciju, nazvanu 'droppee', koja je šifrirani bankovni malware PixPirate.
Aplikacija 'droppee' suzdržava se od deklariranja primarne aktivnosti s 'android.intent.action.MAIN' i 'android.intent.category.LAUNCHER' u svom manifestu, čime se osigurava odsutnost ikone na početnom zaslonu, renderirajući ga u cijelosti neprimjetan. Umjesto toga, aplikacija droppee izvozi uslugu kojoj druge aplikacije mogu pristupiti. Downloader uspostavlja vezu s ovom uslugom kako bi prema potrebi pokrenuo PixPirate malware.
Razni okidači mogu pokrenuti izvršenje bankarskog trojana PixPirate
Uz mogućnost dropper aplikacije da pokrene i kontrolira zlonamjerni softver, PixPirate također mogu pokrenuti različiti sistemski događaji, poput pokretanja uređaja ili promjena povezivanja, koje on aktivno nadzire. To omogućuje PixPirateu da potajno radi u pozadini žrtvinog uređaja.
Droppee komponenta PixPiratea ima uslugu pod nazivom 'com.companian.date.sepherd,' koja se izvozi i opremljena je filtrom namjere koji koristi prilagođenu radnju 'com.ticket.stage.Service.' Kada preuzimatelj namjerava aktivirati droppee, uspostavlja vezu s ovom uslugom korištenjem API-ja 'BindService' zajedno s oznakom 'BIND_AUTO_CREATE'. Ova radnja rezultira stvaranjem i izvođenjem usluge droppee.
Nakon procesa stvaranja i povezivanja droppee usluge, droppee APK se pokreće i počinje s radom. U ovom trenutku, čak i ako žrtva ukloni aplikaciju za preuzimanje s uređaja, PixPirate može nastaviti s radom, potaknut različitim događajima na uređaju, dok učinkovito skriva svoju prisutnost od korisnika.
PixPirate je posebno usmjeren na platformu plaćanja Pix
Zlonamjerni softver posebno cilja platformu za instant plaćanje Pix u Brazilu, s ciljem izvlačenja sredstava napadačima presretanjem ili pokretanjem lažnih transakcija. Pix je stekao značajnu popularnost u Brazilu, s više od 140 milijuna korisnika koji su izvršili transakcije veće od 250 milijardi dolara od ožujka 2023.
PixPirate koristi mogućnosti Remote Access Trojan (RAT) za automatizaciju cijelog lažnog procesa, od hvatanja korisničkih vjerodajnica i dvofaktorskih kodova za autentifikaciju do izvršavanja neovlaštenih prijenosa novca Pix, a sve potajno bez znanja korisnika. Međutim, postizanje ovih zadataka zahtijeva dobivanje dozvola usluge pristupačnosti.
Dodatno, PixPirate uključuje zamjenski ručni kontrolni mehanizam za slučajeve kada automatizirane metode zakažu, pružajući napadačima alternativni način za provođenje prijevare na uređaju. Istraživači također naglašavaju korištenje zlonamjernog softvera za zlonamjerno oglašavanje putem push obavijesti i njegovu sposobnost da onemogući Google Play Protect, temeljnu sigurnosnu značajku platforme Android.
Iako metoda zaraze koju koristi PixPirate nije revolucionarna i može se ublažiti suzdržavanjem od preuzimanja neovlaštenih APK-ova, njezino usvajanje strategija kao što je odsutnost ikone i registracija usluga vezanih uz događaje sustava predstavlja zabrinjavajući i nov pristup.
