PixPirate Banking Trojas zirgs
2024. gada februārī kiberdrošības pētnieki atklāja iepriekš nezināmas Android ļaunprogrammatūras esamību, kas izsekots kā PixPirate. Šie draudi ir izmantoti mērķtiecīgos uzbrukumos bankām Latīņamerikā. Pašlaik eksperti brīdina, ka ir parādījusies atjaunināta PixPirate Banking Trojas zirga iterācija, kas ietver jaunu slepenības paņēmienu, kas ļauj tai saglabāties ierīcēs pat pēc pilinātāja lietojumprogrammas noņemšanas.
Satura rādītājs
PixPirate izmanto divas dažādas lietojumprogrammas, lai savāktu banku informāciju no upuru Android tālruņiem
Pētnieki ir pamanījuši ievērojamu novirzi no tradicionālās stratēģijas, ko izmanto ļaunprātīga programmatūra, jo īpaši ar PixPirate. Atšķirībā no tipiskas ļaunprātīgas programmatūras, kas cenšas slēpt savu ikonu, kas ir iespējama Android versijās līdz 9, PixPirate tā vietā neizmanto palaišanas ikonu. Šī unikālā pieeja ļauj ļaunprogrammatūrai palikt paslēptai jaunākajās Android sistēmās, līdz pat 14. versijai. Tomēr ikonas neesamība rada vēl vienu izaicinājumu: nedod iespēju upuriem ierosināt ļaunprātīgu programmatūru. Lai apietu šo problēmu, PixPirate izmanto divas atšķirīgas lietojumprogrammas, kas darbojas vienlaikus, lai iegūtu sensitīvus datus no inficētajām ierīcēm.
Sākotnējā lietojumprogramma, ko dēvē par “lejupielādētāju”, tiek izplatīta kā APK faili (Android pakotņu faili) un tiek izplatīta, izmantojot pikšķerēšanas ziņojumus tādās platformās kā WhatsApp vai SMS. Pēc instalēšanas šī lejupielādētāja lietojumprogramma pieprasa piekļuvi augsta riska atļaujām, tostarp pieejamības pakalpojumiem. Pēc tam tiek iegūta un instalēta otrā lietojumprogramma, kas nodēvēta par “droppee”, kas ir šifrēta PixPirate banku ļaunprogrammatūra.
Lietojumprogramma “droppee” atturas no primārās darbības deklarēšanas, kuras manifestā ir “android.intent.action.MAIN” un “android.intent.category.LAUNCHER”, tādējādi nodrošinot, ka sākuma ekrānā nav ikonas, un tā tiek pilnībā atveidota. neuzkrītošs. Tā vietā lietojumprogramma droppee eksportē pakalpojumu, kuram var piekļūt citas lietojumprogrammas. Lejupielādētājs izveido savienojumu ar šo pakalpojumu, lai pēc vajadzības sāktu PixPirate ļaunprātīgas programmatūras palaišanu.
Dažādi aktivizētāji var sākt PixPirate Banking Trojas zirga izpildi
Papildus pilinātāja lietojumprogrammas spējai ierosināt un kontrolēt ļaunprātīgu programmatūru, PixPirate var aktivizēt arī dažādi sistēmas notikumi, piemēram, ierīces sāknēšana vai savienojamības izmaiņas, kuras tā aktīvi uzrauga. Tas ļauj PixPirate slēpti darboties upura ierīces fonā.
PixPirate droppee komponents ietver pakalpojumu ar nosaukumu "com.companian.date.sepherd", kas tiek eksportēts un aprīkots ar nolūku filtru, izmantojot pielāgotu darbību "com.ticket.stage.Service". Kad lejupielādētājs plāno aktivizēt droppee, tas izveido savienojumu ar šo pakalpojumu, izmantojot “BindService” API kopā ar karogu “BIND_AUTO_CREATE”. Šīs darbības rezultātā tiek izveidots un izpildīts droppee pakalpojums.
Pēc droppee pakalpojuma izveides un saistīšanas procesa droppee APK tiek palaists un sāk darboties. Pat tad, ja upuris no ierīces noņem lejupielādētāja lietojumprogrammu, PixPirate var turpināt savu darbību, ko izraisa dažādi ierīces notikumi, vienlaikus efektīvi slēpjot savu klātbūtni no lietotāja.
PixPirate ir īpaši vērsta uz Pix maksājumu platformu
Ļaunprātīga programmatūra ir īpaši vērsta uz Pix tūlītējo maksājumu platformu Brazīlijā, kuras mērķis ir novirzīt līdzekļus uzbrucējiem, pārtverot vai uzsākot krāpnieciskus darījumus. Pix ir ieguvis ievērojamu popularitāti Brazīlijā, un 2023. gada martā vairāk nekā 140 miljoni lietotāju ir veikuši darījumus, kas pārsniedz 250 miljardus USD.
PixPirate izmanto attālās piekļuves Trojas (RAT) iespējas, lai automatizētu visu krāpniecisko procesu, sākot no lietotāja akreditācijas datu un divu faktoru autentifikācijas kodu tveršanas līdz neautorizētu Pix naudas pārskaitījumu veikšanai, un tas viss notiek slepeni, lietotājam nezinot. Tomēr, lai veiktu šos uzdevumus, ir jāsaņem pieejamības pakalpojuma atļaujas.
Turklāt PixPirate ietver atkāpšanās manuālo vadības mehānismu gadījumiem, kad automātiskās metodes neizdodas, nodrošinot uzbrucējiem alternatīvus līdzekļus krāpšanai ierīcē. Pētnieki arī uzsver, ka ļaunprogrammatūra izmanto push paziņojumu ļaunprātīgu izmantošanu un tās spēju atspējot Google Play Protect, kas ir Android platformas pamata drošības līdzeklis.
Lai gan PixPirate izmantotā inficēšanās metode nav revolucionāra un to var mazināt, atturoties no neautorizētu APK lejupielādes, tās stratēģijas, piemēram, ikonas neesamība un ar sistēmas notikumiem saistītu pakalpojumu reģistrēšana, ir satraucoša un jauna pieeja.
