PixPirate Banking Trojan
I februar 2024 avdekket cybersikkerhetsforskere eksistensen av en tidligere ukjent Android-skadevare sporet som PixPirate. Denne trusselen har blitt utplassert i målrettede angrep mot banker i Latin-Amerika. For tiden advarer eksperter om at en oppdatert iterasjon av PixPirate Banking Trojan har dukket opp, med en ny stealth-teknikk som gjør at den kan fortsette på enheter selv etter at dropper-applikasjonen er fjernet.
Innholdsfortegnelse
PixPirate bruker to forskjellige applikasjoner for å samle bankinformasjon fra ofrenes Android-telefoner
Forskere har merket en betydelig avvik fra den konvensjonelle strategien brukt av skadelig programvare, spesielt med PixPirate. I motsetning til vanlig skadelig programvare som forsøker å skjule ikonet sitt, en taktikk som er mulig på Android-versjoner opptil 9, bruker PixPirate i stedet ikke et oppstartsikon helt. Denne unike tilnærmingen gjør det mulig for skadelig programvare å forbli skjult på nyere Android-systemer, og strekker seg opp til versjon 14. Fraværet av et ikon byr imidlertid på en annen utfordring: gir ingen mulighet for ofre til å starte skadelig programvare. For å omgå dette problemet, bruker PixPirate to forskjellige applikasjoner som jobber sammen for å samle inn sensitive data fra de infiserte enhetene.
Den første applikasjonen, referert til som 'nedlasteren', spres som APK-er (Android-pakkefiler) og distribueres via phishing-meldinger på plattformer som WhatsApp eller SMS. Ved installasjon ber denne nedlastningsapplikasjonen om tilgang til høyrisikotillatelser, inkludert tilgjengelighetstjenester. Deretter fortsetter den med å hente og installere den andre applikasjonen, kalt 'droppee', som er den krypterte PixPirate bank malware.
'Droppee'-applikasjonen avstår fra å erklære en primær aktivitet med 'android.intent.action.MAIN' og 'android.intent.category.LAUNCHER' i manifestet, og sikrer dermed fravær av et ikon på startskjermen, og gjengir det fullstendig lite iøynefallende. I stedet eksporterer droppee-applikasjonen en tjeneste som andre applikasjoner har tilgang til. Nedlasteren oppretter en tilkobling til denne tjenesten for å starte lanseringen av PixPirate malware etter behov.
Ulike triggere kan starte kjøringen av PixPirate Banking Trojan
I tillegg til dropper-applikasjonens evne til å initiere og kontrollere skadelig programvare, kan PixPirate også utløses av ulike systemhendelser, for eksempel enhetsoppstart eller endringer i tilkobling, som den aktivt overvåker. Dette gjør at PixPirate kan operere i det skjulte i bakgrunnen til offerets enhet.
Dropee-komponenten til PixPirate har en tjeneste kalt 'com.companian.date.sepherd', som eksporteres og er utstyrt med et intentfilter som bruker den tilpassede handlingen 'com.ticket.stage.Service'. Når nedlasteren har til hensikt å aktivere mottakeren, oppretter den en forbindelse med denne tjenesten ved å bruke 'BindService' API sammen med flagget 'BIND_AUTO_CREATE'. Denne handlingen resulterer i opprettelse og utførelse av droppee-tjenesten.
Etter opprettelsen og bindingsprosessen for droppee-tjenesten, lanseres droppee-APK og starter sin drift. På dette tidspunktet, selv om offeret fjerner nedlastningsapplikasjonen fra enheten, kan PixPirate fortsette å opprettholde driften, utløst av ulike enhetshendelser, samtidig som den effektivt skjuler sin tilstedeværelse for brukeren.
PixPirate retter seg spesifikt mot Pix-betalingsplattformen
Skadevaren retter seg spesifikt mot Pix-plattformen for øyeblikkelig betaling i Brasil, og tar sikte på å sifonere midler til angripere ved å avskjære eller initiere uredelige transaksjoner. Pix har vunnet betydelig popularitet i Brasil, med over 140 millioner brukere som gjennomførte transaksjoner på over 250 milliarder dollar per mars 2023.
PixPirate utnytter Remote Access Trojan (RAT)-funksjoner for å automatisere hele den uredelige prosessen, fra innhenting av brukerlegitimasjon og tofaktorautentiseringskoder til å utføre uautoriserte Pix-pengeoverføringer, alt snikende uten brukerbevissthet. For å oppnå disse oppgavene kreves det imidlertid at du får tillatelser for tilgjengelighetstjenesten.
I tillegg har PixPirate en reservemanuell kontrollmekanisme for tilfeller der automatiserte metoder mislykkes, og gir angripere en alternativ måte å utføre svindel på enheten. Forskere fremhever også skadelig programvares bruk av push-varslingsmalvertising og dens evne til å deaktivere Google Play Protect, en grunnleggende sikkerhetsfunksjon på Android-plattformen.
Selv om infeksjonsmetoden som brukes av PixPirate ikke er banebrytende og kan reduseres ved å avstå fra å laste ned uautoriserte APK-er, representerer dens bruk av strategier som fravær av et ikon og registrering av tjenester knyttet til systemhendelser en bekymringsfull og ny tilnærming.
