PixPirate Banking-trojan
In februari 2024 brachten cyberbeveiligingsonderzoekers het bestaan aan het licht van een voorheen onbekende Android-malware, getraceerd als PixPirate. Deze dreiging is ingezet bij gerichte aanvallen op banken in Latijns-Amerika. Momenteel waarschuwen experts dat er een bijgewerkte versie van de PixPirate Banking Trojan is opgedoken, met een nieuwe stealth-techniek waardoor deze op apparaten kan blijven bestaan, zelfs nadat de dropper-applicatie is verwijderd.
Inhoudsopgave
PixPirate gebruikt twee verschillende applicaties om bankgegevens van de Android-telefoons van slachtoffers te verzamelen
Onderzoekers hebben een aanzienlijke afwijking opgemerkt van de conventionele strategie die door malware wordt toegepast, vooral bij PixPirate. In tegenstelling tot typische malware die probeert het pictogram te verbergen, een tactiek die mogelijk is op Android-versies tot 9, gebruikt PixPirate in plaats daarvan helemaal geen opstartpictogram. Deze unieke aanpak zorgt ervoor dat de malware verborgen blijft op recente Android-systemen, tot en met versie 14. Het ontbreken van een pictogram brengt echter nog een uitdaging met zich mee: het biedt slachtoffers geen middelen om de malware te initiëren. Om dit probleem te omzeilen, gebruikt PixPirate twee verschillende applicaties die samenwerken om gevoelige gegevens van de geïnfecteerde apparaten te verzamelen.
De initiële applicatie, ook wel de 'downloader' genoemd, wordt verspreid als APK's (Android Package Files) en verspreid via phishing-berichten op platforms zoals WhatsApp of sms. Tijdens de installatie vraagt deze downloader-applicatie om toegang tot risicovolle machtigingen, waaronder toegankelijkheidsservices. Vervolgens gaat het verder met het ophalen en installeren van de tweede applicatie, genaamd 'droppee', de gecodeerde PixPirate-bankmalware.
De 'droppee'-applicatie onthoudt zich van het declareren van een primaire activiteit met 'android.intent.action.MAIN' en 'android.intent.category.LAUNCHER' in zijn manifest, waardoor de afwezigheid van een pictogram op het startscherm wordt gegarandeerd, waardoor deze volledig wordt weergegeven onopvallend. In plaats daarvan exporteert de droppee-applicatie een service waartoe andere applicaties toegang hebben. De downloader brengt een verbinding tot stand met deze service om indien nodig de lancering van de PixPirate-malware te initiëren.
Verschillende triggers kunnen de uitvoering van de PixPirate Banking Trojan starten
Naast de mogelijkheid van de dropper-applicatie om de malware te initiëren en te controleren, kan PixPirate ook worden geactiveerd door verschillende systeemgebeurtenissen, zoals het opstarten van apparaten of veranderingen in de connectiviteit, die actief worden gecontroleerd. Hierdoor kan PixPirate heimelijk op de achtergrond van het apparaat van het slachtoffer opereren.
De droppee-component van PixPirate beschikt over een service met de naam 'com.companian.date.sepherd', die wordt geëxporteerd en uitgerust met een intentiefilter met behulp van de aangepaste actie 'com.ticket.stage.Service'. Wanneer de downloader de droppee wil activeren, brengt hij een verbinding tot stand met deze service door gebruik te maken van de 'BindService' API samen met de 'BIND_AUTO_CREATE' vlag. Deze actie resulteert in het maken en uitvoeren van de droppee-service.
Na het aanmaken en binden van de droppee-service wordt de droppee APK gelanceerd en begint deze te werken. Op dit punt kan PixPirate, zelfs als het slachtoffer de downloader-applicatie van het apparaat verwijdert, de werking ervan behouden, geactiveerd door verschillende apparaatgebeurtenissen, terwijl de aanwezigheid ervan effectief voor de gebruiker wordt verborgen.
PixPirate richt zich specifiek op het Pix-betalingsplatform
De malware richt zich specifiek op het Pix-platform voor directe betalingen in Brazilië, met als doel geld over te hevelen naar aanvallers door frauduleuze transacties te onderscheppen of te initiëren. Pix is aanzienlijk populair geworden in Brazilië, met meer dan 140 miljoen gebruikers die vanaf maart 2023 transacties uitvoerden voor meer dan $ 250 miljard.
PixPirate maakt gebruik van Remote Access Trojan (RAT)-mogelijkheden om het hele frauduleuze proces te automatiseren, van het vastleggen van gebruikersgegevens en tweefactorauthenticatiecodes tot het uitvoeren van ongeautoriseerde Pix-geldoverdrachten, allemaal heimelijk zonder dat de gebruiker zich hiervan bewust is. Voor het uitvoeren van deze taken zijn echter machtigingen voor de toegankelijkheidsservice vereist.
Bovendien bevat PixPirate een handmatig controlemechanisme voor gevallen waarin geautomatiseerde methoden falen, waardoor aanvallers een alternatief middel krijgen om fraude op het apparaat uit te voeren. Onderzoekers benadrukken ook het gebruik door de malware van malvertising voor pushmeldingen en de mogelijkheid om Google Play Protect uit te schakelen, een fundamentele beveiligingsfunctie van het Android-platform.
Hoewel de door PixPirate gebruikte infectiemethode niet baanbrekend is en kan worden verzacht door het niet downloaden van ongeautoriseerde APK's, vertegenwoordigt het gebruik van strategieën zoals de afwezigheid van een pictogram en de registratie van diensten die gebonden zijn aan systeemgebeurtenissen een zorgwekkende en nieuwe aanpak.
