PixPirate Banking Trojos arklys
2024 m. vasario mėn. kibernetinio saugumo tyrėjai iškėlė į viešumą anksčiau nežinomos Android kenkėjiškos programos, sekamos kaip PixPirate. Ši grėsmė buvo panaudota per tikslines atakas prieš bankus Lotynų Amerikoje. Šiuo metu ekspertai įspėja, kad pasirodė atnaujinta PixPirate Banking Trojos arklys iteracija, turinti naują slaptą techniką, leidžiančią išlikti įrenginiuose net pašalinus lašintuvą.
Turinys
„PixPirate“ naudoja dvi skirtingas programas, kad surinktų banko informaciją iš aukų „Android“ telefonų
Tyrėjai pastebėjo didelį nukrypimą nuo įprastos kenkėjiškų programų strategijos, ypač su PixPirate. Skirtingai nuo įprastų kenkėjiškų programų, kurios stengiasi nuslėpti savo piktogramą, tokia taktika įmanoma iki 9 versijų „Android“, „PixPirate“ nenaudoja paleidimo priemonės piktogramos. Dėl šio unikalaus metodo kenkėjiška programa gali likti paslėpta naujausiose „Android“ sistemose iki 14 versijos. Tačiau piktogramos nebuvimas kelia dar vieną iššūkį: aukoms nesuteikti galimybių inicijuoti kenkėjišką programą. Siekdama išvengti šios problemos, „PixPirate“ naudoja dvi skirtingas programas, kurios veikia kartu, kad surinktų jautrius duomenis iš užkrėstų įrenginių.
Pradinė programa, vadinama „atsisiuntimo priemone“, yra platinama kaip APK („Android Package Files“) ir platinama sukčiavimo pranešimais tokiose platformose kaip „WhatsApp“ arba SMS. Įdiegus ši atsisiuntimo programa prašo prieigos prie didelės rizikos leidimų, įskaitant pritaikymo neįgaliesiems paslaugas. Vėliau jis gauna ir įdiegia antrąją programą, pavadintą „droppee“, kuri yra užšifruota „PixPirate“ bankininkystės kenkėjiška programa.
Programa „droppee“ nedeklaruoja pagrindinės veiklos, kurios apraše yra „android.intent.action.MAIN“ ir „android.intent.category.LAUNCHER“, tokiu būdu užtikrinant, kad pagrindiniame ekrane nebūtų piktogramos ir ji visiškai atvaizduojama. nepastebimas. Vietoj to, droppee programa eksportuoja paslaugą, kurią gali pasiekti kitos programos. Atsisiuntimo programa užmezga ryšį su šia paslauga, kad prireikus būtų paleista „PixPirate“ kenkėjiška programa.
Įvairūs trigeriai gali pradėti vykdyti PixPirate Banking Trojos arklys
Be lašintuvo programos galimybės inicijuoti ir valdyti kenkėjiškas programas, „PixPirate“ taip pat gali būti suaktyvintas dėl įvairių sistemos įvykių, tokių kaip įrenginio paleidimas arba ryšio pasikeitimai, kuriuos ji aktyviai stebi. Tai leidžia PixPirate slaptai veikti aukos įrenginio fone.
„PixPirate“ „droppee“ komponente yra paslauga, pavadinta „com.companian.date.sepherd“, kuri yra eksportuojama ir aprūpinta ketinimų filtru, naudojant pasirinktinį veiksmą „com.ticket.stage.Service“. Kai atsisiuntimo programa ketina suaktyvinti „droppee“, ji užmezga ryšį su šia paslauga naudodama „BindService“ API kartu su žyma „BIND_AUTO_CREATE“. Dėl šio veiksmo sukuriama ir vykdoma „droppee“ paslauga.
Sukūrus ir surišus droppee paslaugą, droppee APK paleidžiamas ir pradeda veikti. Šiuo metu, net jei auka pašalina parsisiuntimo programą iš įrenginio, „PixPirate“ gali ir toliau palaikyti savo veiklą, kurią sukelia įvairūs įrenginio įvykiai, tuo pačiu efektyviai slėpdama savo buvimą nuo vartotojo.
„PixPirate“ konkrečiai taikoma „Pix“ mokėjimo platformai
Kenkėjiška programa konkrečiai nukreipta į „Pix“ momentinių mokėjimų platformą Brazilijoje, siekdama perimti lėšas užpuolikams sulaikant arba inicijuojant nesąžiningas operacijas. „Pix“ sulaukė didelio populiarumo Brazilijoje – 2023 m. kovo mėn. daugiau nei 140 milijonų vartotojų atliko sandorius, viršijančius 250 mlrd. USD.
„PixPirate“ naudoja nuotolinės prieigos Trojos arklys (RAT), kad automatizuotų visą nesąžiningą procesą, pradedant vartotojo kredencialų ir dviejų faktorių autentifikavimo kodų fiksavimu ir baigiant neteisėtais Pix pinigų pervedimais – visa tai slapta, naudotojui to nežinant. Tačiau norint atlikti šias užduotis, reikia gauti pritaikymo neįgaliesiems tarnybos leidimus.
Be to, „PixPirate“ apima atsarginį rankinio valdymo mechanizmą tais atvejais, kai sugenda automatiniai metodai, todėl užpuolikai turi alternatyvias priemones sukčiavimui įrenginyje. Tyrėjai taip pat pabrėžia, kad kenkėjiška programinė įranga naudoja tiesioginių pranešimų kenkėjišką reklamą ir jos galimybę išjungti „Google Play Protect“, pagrindinę „Android“ platformos saugos funkciją.
Nors „PixPirate“ naudojamas infekcijos metodas nėra novatoriškas ir jį galima sušvelninti neatsisiunčiant neteisėtų APK, strategijų, tokių kaip piktogramos nebuvimas ir su sistemos įvykiais susietų paslaugų registravimas, priėmimas yra nerimą keliantis ir naujas požiūris.
