Trojan Perbankan PixPirate
Pada Februari 2024, penyelidik keselamatan siber mendedahkan kewujudan perisian hasad Android yang sebelum ini tidak diketahui yang dikesan sebagai PixPirate. Ancaman ini telah digunakan dalam serangan yang disasarkan terhadap bank di Amerika Latin. Pada masa ini, pakar memberi amaran bahawa lelaran yang dikemas kini bagi Trojan Perbankan PixPirate telah muncul, menampilkan teknik siluman baharu yang membolehkannya berterusan pada peranti walaupun selepas aplikasi penitisnya telah dialih keluar.
Isi kandungan
PixPirate Menggunakan Dua Aplikasi Berbeza untuk Mengumpul Maklumat Perbankan daripada Telefon Android Mangsa
Penyelidik telah mencatatkan perubahan ketara daripada strategi konvensional yang digunakan oleh perisian hasad, terutamanya dengan PixPirate. Tidak seperti perisian hasad biasa yang cuba menyembunyikan ikonnya, taktik yang mungkin pada versi Android sehingga 9, PixPirate sebaliknya tidak menggunakan ikon pelancar sama sekali. Pendekatan unik ini membolehkan perisian hasad kekal tersembunyi pada sistem Android terkini, sehingga versi 14. Walau bagaimanapun, ketiadaan ikon memberikan satu lagi cabaran: tidak menyediakan cara untuk mangsa memulakan perisian hasad. Untuk mengelakkan isu ini, PixPirate menggunakan dua aplikasi berbeza yang berfungsi seiring untuk menuai data sensitif daripada peranti yang dijangkiti.
Aplikasi awal, yang dirujuk sebagai 'pemuat turun,' disebarkan sebagai APK (Fail Pakej Android) dan diedarkan melalui mesej pancingan data pada platform seperti WhatsApp atau SMS. Selepas pemasangan, aplikasi pemuat turun ini meminta akses kepada kebenaran berisiko tinggi, termasuk Perkhidmatan Kebolehcapaian. Selepas itu, ia meneruskan untuk mengambil dan memasang aplikasi kedua, yang digelar 'droppee,' iaitu perisian hasad perbankan PixPirate yang disulitkan.
Aplikasi 'droppee' mengelak daripada mengisytiharkan aktiviti utama dengan 'android.intent.action.MAIN' dan 'android.intent.category.LAUNCHER' dalam manifesnya, dengan itu memastikan ketiadaan ikon pada skrin utama, menjadikannya sepenuhnya tidak mencolok. Sebaliknya, aplikasi droppee mengeksport perkhidmatan yang boleh diakses oleh aplikasi lain. Pemuat turun membuat sambungan kepada perkhidmatan ini untuk memulakan pelancaran perisian hasad PixPirate seperti yang diperlukan.
Pelbagai Pencetus Boleh Memulakan Pelaksanaan Trojan Perbankan PixPirate
Sebagai tambahan kepada keupayaan aplikasi penitis untuk memulakan dan mengawal perisian hasad, PixPirate juga boleh dicetuskan oleh pelbagai peristiwa sistem, seperti but peranti atau perubahan dalam sambungan, yang dipantau secara aktif. Ini membolehkan PixPirate beroperasi secara rahsia di latar belakang peranti mangsa.
Komponen droppee PixPirate menampilkan perkhidmatan bernama 'com.companian.date.sepherd,' yang dieksport dan dilengkapi dengan penapis niat menggunakan tindakan tersuai 'com.ticket.stage.Service.' Apabila pemuat turun berhasrat untuk mengaktifkan droppee, ia mewujudkan sambungan dengan perkhidmatan ini dengan menggunakan API 'BindService' bersama dengan bendera 'BIND_AUTO_CREATE'. Tindakan ini menghasilkan penciptaan dan pelaksanaan perkhidmatan droppee.
Berikutan proses penciptaan dan pengikatan perkhidmatan droppee, APK droppee dilancarkan dan memulakan operasinya. Pada ketika ini, walaupun mangsa mengalih keluar aplikasi pemuat turun daripada peranti, PixPirate boleh terus mengekalkan operasinya, yang dicetuskan oleh pelbagai peristiwa peranti, sambil menyembunyikan kehadirannya secara berkesan daripada pengguna.
PixPirate Menyasarkan Platform Pembayaran Pix Secara Khusus
Perisian hasad secara khusus menyasarkan platform pembayaran segera Pix di Brazil, bertujuan untuk menyedut dana kepada penyerang dengan memintas atau memulakan transaksi penipuan. Pix telah mendapat populariti yang ketara di Brazil, dengan lebih 140 juta pengguna menjalankan transaksi melebihi $250 bilion pada Mac 2023.
PixPirate memanfaatkan keupayaan Remote Access Trojan (RAT) untuk mengautomasikan keseluruhan proses penipuan, daripada menangkap bukti kelayakan pengguna dan kod pengesahan dua faktor kepada melaksanakan pemindahan wang Pix yang tidak dibenarkan, semuanya secara senyap tanpa kesedaran pengguna. Walau bagaimanapun, untuk mencapai tugas ini memerlukan mendapatkan kebenaran Perkhidmatan Kebolehcapaian.
Selain itu, PixPirate menggabungkan mekanisme kawalan manual sandaran untuk keadaan apabila kaedah automatik gagal, memberikan penyerang cara alternatif untuk melakukan penipuan pada peranti. Penyelidik juga menyerlahkan penggunaan perisian hasad untuk malvertising pemberitahuan tolak dan keupayaannya untuk melumpuhkan Google Play Protect, ciri keselamatan asas platform Android.
Walaupun kaedah jangkitan yang digunakan oleh PixPirate tidak pecah tanah dan boleh dikurangkan dengan mengelak daripada memuat turun APK yang tidak dibenarkan, penggunaan strategi seperti ketiadaan ikon dan pendaftaran perkhidmatan yang terikat pada peristiwa sistem mewakili pendekatan yang membimbangkan dan baharu.
