PixPirate बैंकिङ ट्रोजन
फेब्रुअरी 2024 मा, साइबरसुरक्षा अनुसन्धानकर्ताहरूले PixPirate को रूपमा ट्र्याक गरिएको पहिले अज्ञात एन्ड्रोइड मालवेयरको अस्तित्व प्रकाशमा ल्याए। यो धम्की ल्याटिन अमेरिकामा बैंकहरू विरुद्ध लक्षित आक्रमणहरूमा तैनात गरिएको छ। हाल, विज्ञहरूले चेतावनी दिन्छन् कि PixPirate बैंकिङ ट्रोजनको अद्यावधिक पुनरावृत्ति देखा परेको छ, नयाँ स्टिल्थ प्रविधिको विशेषता रहेको छ जसले यसलाई यसको ड्रपर अनुप्रयोग हटाइएपछि पनि उपकरणहरूमा जारी रहन सक्षम बनाउँछ।
सामग्रीको तालिका
PixPirate ले पीडितहरूको एन्ड्रोइड फोनहरूबाट बैंकिङ जानकारी सङ्कलन गर्न दुई फरक अनुप्रयोगहरू प्रयोग गर्दछ
अन्वेषकहरूले विशेष गरी PixPirate सँग मालवेयरद्वारा नियोजित परम्परागत रणनीतिबाट महत्त्वपूर्ण प्रस्थान नोट गरेका छन्। सामान्य मालवेयरको विपरीत जुन आफ्नो आइकन लुकाउन प्रयास गर्दछ, एन्ड्रोइड संस्करणहरू 9 सम्ममा सम्भव छ, PixPirate ले लन्चर आइकन पूर्ण रूपमा प्रयोग गर्दैन। यो अनौठो दृष्टिकोणले मालवेयरलाई हालको एन्ड्रोइड प्रणालीहरूमा लुकेको रहन सक्षम बनाउँछ, संस्करण 14 सम्म विस्तार गर्दछ। यद्यपि, आइकनको अनुपस्थितिले अर्को चुनौती प्रस्तुत गर्दछ: पीडितहरूलाई मालवेयर सुरु गर्न कुनै माध्यम प्रदान गर्दैन। यस समस्यालाई रोक्नको लागि, PixPirate ले संक्रमित यन्त्रहरूबाट संवेदनशील डेटा सङ्कलन गर्न मिलाएर काम गर्ने दुई फरक अनुप्रयोगहरू प्रयोग गर्दछ।
प्रारम्भिक अनुप्रयोग, जसलाई 'डाउनलोडर' भनिन्छ, APKs (एन्ड्रोइड प्याकेज फाइलहरू) को रूपमा फैलिएको छ र व्हाट्सएप वा एसएमएस जस्ता प्लेटफर्महरूमा फिसिङ सन्देशहरू मार्फत वितरण गरिन्छ। स्थापना भएपछि, यो डाउनलोडर अनुप्रयोगले पहुँच सेवाहरू सहित उच्च जोखिम अनुमतिहरूमा पहुँच अनुरोध गर्दछ। त्यसपछि, यो एन्क्रिप्टेड PixPirate बैंकिङ मालवेयर हो, 'droppee' डब गरिएको दोस्रो अनुप्रयोग ल्याउन र स्थापना गर्न अगाडि बढ्छ।
'droppee' एप्लिकेसनले आफ्नो manifest मा 'android.intent.action.MAIN' र 'android.intent.category.LAUNCHER' सँगको प्राथमिक गतिविधि घोषणा गर्नबाट टाढा रहन्छ, जसले गर्दा गृह स्क्रिनमा आइकनको अनुपस्थिति सुनिश्चित गर्दै, यसलाई पूर्ण रूपमा प्रस्तुत गर्दै। अस्पष्ट। यसको सट्टा, droppee अनुप्रयोगले अन्य अनुप्रयोगहरूले पहुँच गर्न सक्ने सेवा निर्यात गर्दछ। डाउनलोडरले आवश्यक अनुसार PixPirate मालवेयरको सुरुवात गर्न यस सेवामा जडान स्थापना गर्दछ।
विभिन्न ट्रिगरहरूले PixPirate बैंकिङ ट्रोजनको कार्यान्वयन सुरु गर्न सक्छन्
मालवेयर सुरु गर्न र नियन्त्रण गर्न ड्रपर एप्लिकेसनको क्षमताको अतिरिक्त, PixPirate लाई विभिन्न प्रणाली घटनाहरू द्वारा पनि ट्रिगर गर्न सकिन्छ, जस्तै उपकरण बुटिङ वा जडानमा परिवर्तनहरू, जुन यसले सक्रिय रूपमा निगरानी गर्दछ। यसले PixPirate लाई पीडितको यन्त्रको पृष्ठभूमिमा गोप्य रूपमा सञ्चालन गर्न सक्षम बनाउँछ।
PixPirate को droppee कम्पोनेन्टले 'com.companian.date.sepherd' नामक सेवा सुविधा दिन्छ, जुन निर्यात गरिन्छ र अनुकूलन कार्य 'com.ticket.stage.Service' को उपयोग गरी एक अभिप्राय फिल्टरसँग सुसज्जित हुन्छ। जब डाउनलोडरले ड्रपपी सक्रिय गर्न चाहन्छ, यसले 'BIND_AUTO_CREATE' फ्ल्यागको साथ 'BindService' API प्रयोग गरेर यो सेवासँग जडान स्थापित गर्दछ। यस कार्यले ड्रपपी सेवाको सिर्जना र कार्यान्वयनमा परिणाम दिन्छ।
Droppee सेवाको सिर्जना र बाध्यकारी प्रक्रिया पछ्याउँदै, droppee APK सुरु हुन्छ र यसको सञ्चालन सुरु हुन्छ। यस बिन्दुमा, पीडितले यन्त्रबाट डाउनलोडर एप्लिकेसन हटाउँदा पनि, PixPirate ले प्रयोगकर्ताबाट प्रभावकारी रूपमा आफ्नो उपस्थिति लुकाएर विभिन्न उपकरण घटनाहरूद्वारा ट्रिगर गरिएको, यसको सञ्चालन कायम राख्न जारी राख्न सक्छ।
PixPirate ले पिक्स भुक्तानी प्लेटफर्मलाई विशेष रूपमा लक्षित गर्दछ
मालवेयरले ब्राजिलको पिक्स तत्काल भुक्तानी प्लेटफर्मलाई विशेष रूपमा लक्षित गर्दछ, जसले जालसाजी कारोबारहरू रोकेर वा प्रारम्भ गरेर आक्रमणकारीहरूलाई रकम सिफन गर्ने लक्ष्य राख्छ। पिक्सले ब्राजिलमा उल्लेखनीय लोकप्रियता हासिल गरेको छ, मार्च २०२३ सम्ममा १४० मिलियन भन्दा बढी प्रयोगकर्ताहरूले $२५० बिलियनभन्दा बढी कारोबारहरू सञ्चालन गरेका छन्।
PixPirate ले सम्पूर्ण धोखाधडी प्रक्रियालाई स्वचालित गर्न रिमोट एक्सेस ट्रोजन (RAT) क्षमताहरूको लाभ उठाउँछ, प्रयोगकर्ता प्रमाणहरू र दुई-कारक प्रमाणीकरण कोडहरू क्याप्चर गर्नेदेखि अनाधिकृत Pix पैसा स्थानान्तरणहरू कार्यान्वयन गर्न, सबै चुपचाप प्रयोगकर्ता जागरूकता बिना। यद्यपि, यी कार्यहरू प्राप्त गर्न पहुँच सेवा अनुमतिहरू प्राप्त गर्न आवश्यक छ।
थप रूपमा, PixPirate ले स्वचालित विधिहरू असफल भएका उदाहरणहरूको लागि फलब्याक म्यानुअल नियन्त्रण संयन्त्र समावेश गर्दछ, जसले आक्रमणकारीहरूलाई उपकरणमा जालसाजी गर्न वैकल्पिक माध्यम प्रदान गर्दछ। अन्वेषकहरूले पुश नोटिफिकेशन मालभरटाइजिङको मालवेयरको प्रयोग र एन्ड्रोइड प्लेटफर्मको आधारभूत सुरक्षा सुविधा गुगल प्ले प्रोटेक्टलाई असक्षम पार्ने क्षमतालाई पनि हाइलाइट गर्छन्।
जबकि PixPirate द्वारा नियोजित संक्रमणको विधि ग्राउन्डब्रेकिंग छैन र अनाधिकृत एपीकेहरू डाउनलोड गर्नबाट परहेज गरेर कम गर्न सकिन्छ, यसको रणनीतिहरू अपनाउने जस्तै आइकनको अनुपस्थिति र प्रणाली घटनाहरूमा बाध्य सेवाहरूको दर्ताले सम्बन्धित र उपन्यास दृष्टिकोणलाई प्रतिनिधित्व गर्दछ।
