Trojan bancario PixPirate
Nel febbraio 2024, i ricercatori di sicurezza informatica hanno portato alla luce l’esistenza di un malware Android precedentemente sconosciuto, tracciato come PixPirate. Questa minaccia è stata impiegata in attacchi mirati contro le banche in America Latina. Attualmente, gli esperti avvertono che è emersa un'iterazione aggiornata del Trojan bancario PixPirate, caratterizzata da una nuova tecnica invisibile che gli consente di persistere sui dispositivi anche dopo che la sua applicazione dropper è stata rimossa.
Sommario
PixPirate utilizza due diverse applicazioni per raccogliere informazioni bancarie dai telefoni Android delle vittime
I ricercatori hanno notato un significativo allontanamento dalla strategia convenzionale impiegata dal malware, in particolare con PixPirate. A differenza dei tipici malware che tentano di nascondere la propria icona, una tattica possibile sulle versioni Android fino alla 9, PixPirate invece non utilizza del tutto un'icona di avvio. Questo approccio unico consente al malware di rimanere nascosto sui recenti sistemi Android, estendendosi fino alla versione 14. Tuttavia, l'assenza di un'icona presenta un'altra sfida: non fornire alle vittime alcun mezzo per avviare il malware. Per aggirare questo problema, PixPirate utilizza due applicazioni distinte che lavorano in tandem per raccogliere dati sensibili dai dispositivi infetti.
L'applicazione iniziale, denominata "downloader", viene diffusa come APK (file dei pacchetti Android) e distribuita tramite messaggi di phishing su piattaforme come WhatsApp o SMS. Al momento dell'installazione, questa applicazione downloader richiede l'accesso ad autorizzazioni ad alto rischio, inclusi i servizi di accessibilità. Successivamente, procede a recuperare e installare la seconda applicazione, denominata "droppee", che è il malware bancario crittografato PixPirate.
L'applicazione 'droppee' si astiene dal dichiarare un'attività primaria con 'android.intent.action.MAIN' e 'android.intent.category.LAUNCHER' nel suo manifest, garantendo così l'assenza di un'icona nella schermata principale, rendendola interamente poco appariscente. Invece, l'applicazione droppee esporta un servizio a cui possono accedere altre applicazioni. Il downloader stabilisce una connessione a questo servizio per avviare, come richiesto, il lancio del malware PixPirate.
Vari trigger possono avviare l’esecuzione del trojan bancario PixPirate
Oltre alla capacità dell'applicazione dropper di avviare e controllare il malware, PixPirate può anche essere attivato da vari eventi di sistema, come l'avvio del dispositivo o cambiamenti nella connettività, che monitora attivamente. Ciò consente a PixPirate di operare di nascosto sullo sfondo del dispositivo della vittima.
Il componente droppee di PixPirate presenta un servizio denominato "com.companian.date.sepherd", che viene esportato e dotato di un filtro di intenti che utilizza l'azione personalizzata "com.ticket.stage.Service". Quando il downloader intende attivare il droppee, stabilisce una connessione con questo servizio utilizzando l'API "BindService" insieme al flag "BIND_AUTO_CREATE". Questa azione comporta la creazione e l'esecuzione del servizio droppee.
Dopo il processo di creazione e associazione del servizio droppee, l'APK droppee viene avviato e inizia a funzionare. A questo punto, anche se la vittima rimuove l'applicazione downloader dal dispositivo, PixPirate può continuare a mantenere il suo funzionamento, attivato da vari eventi del dispositivo, nascondendo di fatto la sua presenza all'utente.
PixPirate si rivolge specificamente alla piattaforma di pagamento Pix
Il malware prende di mira specificamente la piattaforma di pagamento istantaneo Pix in Brasile, con l'obiettivo di sottrarre fondi agli aggressori intercettando o avviando transazioni fraudolente. Pix ha guadagnato una notevole popolarità in Brasile, con oltre 140 milioni di utenti che hanno effettuato transazioni superiori a 250 miliardi di dollari a marzo 2023.
PixPirate sfrutta le funzionalità del Remote Access Trojan (RAT) per automatizzare l'intero processo fraudolento, dall'acquisizione delle credenziali dell'utente e dei codici di autenticazione a due fattori all'esecuzione di trasferimenti di denaro Pix non autorizzati, il tutto di nascosto senza che l'utente se ne accorga. Tuttavia, per eseguire queste attività è necessario ottenere le autorizzazioni del servizio di accessibilità.
Inoltre, PixPirate incorpora un meccanismo di controllo manuale di riserva per i casi in cui i metodi automatizzati falliscono, fornendo agli aggressori un mezzo alternativo per eseguire frodi sul dispositivo. I ricercatori evidenziano inoltre l'utilizzo da parte del malware del malvertising delle notifiche push e la sua capacità di disattivare Google Play Protect, una funzionalità di sicurezza fondamentale della piattaforma Android.
Sebbene il metodo di infezione utilizzato da PixPirate non sia innovativo e possa essere mitigato astenendosi dal scaricare APK non autorizzati, l'adozione di strategie come l'assenza di un'icona e la registrazione di servizi legati a eventi di sistema rappresenta un approccio preoccupante e nuovo.
