PixPirate Banking trójai
2024 februárjában a kiberbiztonsági kutatók napvilágra hoztak egy korábban ismeretlen, PixPirate néven nyomon követett Android kártevő létezését. Ezt a fenyegetést a latin-amerikai bankok elleni célzott támadások során vetették be. Jelenleg a szakértők arra figyelmeztetnek, hogy a PixPirate Banking trójai frissített iterációja jelent meg, amely egy új lopakodó technikát tartalmaz, amely lehetővé teszi, hogy a cseppentő alkalmazás eltávolítása után is megmaradjon az eszközökön.
Tartalomjegyzék
A PixPirate két különböző alkalmazást használ banki információk gyűjtésére az áldozatok Android telefonjairól
A kutatók jelentős eltérést észleltek a rosszindulatú programok által alkalmazott hagyományos stratégiától, különösen a PixPirate esetében. Ellentétben a tipikus rosszindulatú programokkal, amelyek megpróbálják elrejteni az ikonját, ez a taktika az Android 9-es verzióiig lehetséges, a PixPirate ehelyett nem használ indítóikont. Ez az egyedülálló megközelítés lehetővé teszi, hogy a rosszindulatú program rejtve maradjon a legújabb Android rendszereken, egészen a 14-es verzióig. Az ikon hiánya azonban újabb kihívást jelent: nem biztosít lehetőséget az áldozatok számára a kártevő elindítására. A probléma megkerülésére a PixPirate két különálló alkalmazást alkalmaz, amelyek párhuzamosan gyűjtik össze a fertőzött eszközökről az érzékeny adatokat.
Az eredeti alkalmazás, amelyet „letöltőnek” neveznek, APK-ként (Android Package Files) terjesztik, és adathalász üzenetekkel terjesztik olyan platformokon, mint a WhatsApp vagy az SMS. Telepítéskor ez a letöltő alkalmazás hozzáférést kér a magas kockázatú engedélyekhez, beleértve az akadálymentesítési szolgáltatásokat is. Ezt követően lekéri és telepíti a második alkalmazást, a „droppee”-t, amely a titkosított PixPirate banki kártevő.
A „droppee” alkalmazás tartózkodik attól, hogy elsődleges tevékenységet deklaráljon az „android.intent.action.MAIN” és „android.intent.category.LAUNCHER” jegyzékében, így biztosítva, hogy a kezdőképernyőn ne jelenjen meg egy ikon, és teljes egészében megjelenítse azt. nem feltűnő. Ehelyett a droppee alkalmazás olyan szolgáltatást exportál, amelyet más alkalmazások is elérhetnek. A letöltő kapcsolatot létesít ezzel a szolgáltatással, hogy szükség szerint elindítsa a PixPirate kártevő elindítását.
Különféle triggerek indíthatják el a PixPirate Banking trójai program végrehajtását
Amellett, hogy a dropper alkalmazás képes elindítani és ellenőrizni a rosszindulatú programokat, a PixPirate-et különféle rendszeresemények is kiválthatják, mint például az eszköz indítása vagy a kapcsolat változásai, amelyeket aktívan figyel. Ez lehetővé teszi, hogy a PixPirate titokban működjön az áldozat eszközének hátterében.
A PixPirate droppee összetevője egy „com.companian.date.sepherd” nevű szolgáltatást tartalmaz, amely exportálva van, és a „com.ticket.stage.Service” egyéni műveletet használó szándékszűrővel van felszerelve. Amikor a letöltő aktiválni kívánja a droppee-t, kapcsolatot létesít ezzel a szolgáltatással a „BindService” API és a „BIND_AUTO_CREATE” jelző használatával. Ez a művelet a droppee szolgáltatás létrehozását és végrehajtását eredményezi.
A droppee szolgáltatás létrehozását és kötési folyamatát követően elindul a droppee APK, és megkezdi működését. Ezen a ponton, még ha az áldozat eltávolítja is a letöltő alkalmazást az eszközről, a PixPirate továbbra is fenntarthatja annak működését, különféle eszközesemények hatására, miközben hatékonyan elrejti jelenlétét a felhasználó elől.
A PixPirate kifejezetten a Pix fizetési platformot célozza meg
A rosszindulatú program kifejezetten a brazíliai Pix azonnali fizetési platformot célozza meg azzal, hogy pénzeszközöket juttat el a támadókhoz azáltal, hogy elfogja vagy csalárd tranzakciókat kezdeményez. A Pix jelentős népszerűségre tett szert Brazíliában, 2023 márciusában több mint 140 millió felhasználó hajtott végre 250 milliárd dollárt meghaladó tranzakciókat.
A PixPirate a Remote Access Trojan (RAT) képességeit kihasználva automatizálja a teljes csalási folyamatot, a felhasználói hitelesítő adatok rögzítésétől és a kéttényezős hitelesítési kódoktól a jogosulatlan Pix pénzátutalások végrehajtásáig, mindezt titokban, a felhasználó figyelme nélkül. Ezeknek a feladatoknak az eléréséhez azonban meg kell szerezni az Accessibility Service engedélyeit.
Ezenkívül a PixPirate egy tartalék kézi vezérlési mechanizmust is tartalmaz olyan esetekre, amikor az automatizált módszerek meghiúsulnak, így a támadók alternatív eszközt kínálnak az eszközön történő csaláshoz. A kutatók azt is kiemelik, hogy a rosszindulatú program a push értesítések rosszindulatú hirdetését használja, és képes letiltani a Google Play Protectet, az Android platform alapvető biztonsági funkcióját.
Bár a PixPirate által alkalmazott fertőzési módszer nem úttörő, és az illetéktelen APK-k letöltésétől való tartózkodással mérsékelhető, az olyan stratégiák elfogadása, mint az ikon hiánya és a rendszereseményekhez kötött szolgáltatások regisztrációja, aggasztó és újszerű megközelítést képvisel.
