Trojan bankowy PixPirate
W lutym 2024 r. badacze cyberbezpieczeństwa ujawnili istnienie nieznanego wcześniej szkodliwego oprogramowania dla Androida, śledzonego jako PixPirate. Zagrożenie to zostało wykorzystane w ukierunkowanych atakach na banki w Ameryce Łacińskiej. Obecnie eksperci ostrzegają, że pojawiła się zaktualizowana wersja trojana bankowego PixPirate, wykorzystująca nową technikę ukrywania się, umożliwiającą mu utrzymywanie się na urządzeniach nawet po usunięciu aplikacji dropper.
Spis treści
PixPirate wykorzystuje dwie różne aplikacje do zbierania informacji bankowych z telefonów ofiar z systemem Android
Badacze zauważyli znaczące odejście od konwencjonalnej strategii stosowanej przez złośliwe oprogramowanie, szczególnie w przypadku PixPirate. W przeciwieństwie do typowego złośliwego oprogramowania, które stara się ukryć swoją ikonę, co jest taktyką możliwą w wersjach Androida do 9, PixPirate zamiast tego w ogóle nie używa ikony programu uruchamiającego. To unikalne podejście umożliwia ukrycie złośliwego oprogramowania w najnowszych systemach Android aż do wersji 14. Jednakże brak ikony stwarza kolejne wyzwanie: nie zapewnia ofiarom możliwości zainicjowania złośliwego oprogramowania. Aby obejść ten problem, PixPirate wykorzystuje dwie różne aplikacje, które współpracują w celu gromadzenia poufnych danych z zainfekowanych urządzeń.
Początkowa aplikacja, nazywana „downloaderem”, jest rozpowszechniana w postaci plików APK (plików pakietu Android) i rozpowszechniana za pośrednictwem wiadomości phishingowych na platformach takich jak WhatsApp lub SMS. Po instalacji ta aplikacja do pobierania żąda dostępu do uprawnień wysokiego ryzyka, w tym do usług ułatwień dostępu. Następnie pobiera i instaluje drugą aplikację, zwaną „droppee”, która jest zaszyfrowanym szkodliwym oprogramowaniem bankowym PixPirate.
Aplikacja „droppee” wstrzymuje się od deklarowania podstawowej aktywności z „android.intent.action.MAIN” i „android.intent.category.LAUNCHER” w swoim manifeście, zapewniając w ten sposób brak ikony na ekranie głównym, czyniąc go całkowicie niepozorny. Zamiast tego aplikacja droppee eksportuje usługę, do której mają dostęp inne aplikacje. Moduł pobierania nawiązuje połączenie z tą usługą, aby w razie potrzeby zainicjować uruchomienie szkodliwego oprogramowania PixPirate.
Różne czynniki wyzwalające mogą rozpocząć wykonywanie trojana bankowego PixPirate
Oprócz możliwości aplikacji droppera do inicjowania i kontrolowania złośliwego oprogramowania, PixPirate może być również uruchamiany przez różne zdarzenia systemowe, takie jak uruchamianie urządzenia lub zmiany w łączności, które aktywnie monitoruje. Dzięki temu PixPirate może potajemnie działać w tle urządzenia ofiary.
Komponent droppee PixPirate zawiera usługę o nazwie „com.companian.date.sepherd”, która jest eksportowana i wyposażona w filtr intencji wykorzystujący akcję niestandardową „com.ticket.stage.Service”. Gdy moduł pobierania zamierza aktywować droppee, ustanawia połączenie z tą usługą, korzystając z interfejsu API „BindService” wraz z flagą „BIND_AUTO_CREATE”. Ta akcja skutkuje utworzeniem i wykonaniem usługi droppee.
Po utworzeniu i powiązaniu usługi droppee, pakiet APK droppee zostaje uruchomiony i rozpoczyna działanie. W tym momencie, nawet jeśli ofiara usunie aplikację pobierającą z urządzenia, PixPirate może kontynuować swoje działanie, wywołane różnymi zdarzeniami na urządzeniu, skutecznie ukrywając swoją obecność przed użytkownikiem.
Celem PixPirate jest w szczególności platforma płatnicza Pix
Szkodnik atakuje w szczególności platformę płatności natychmiastowych Pix w Brazylii, a jego celem jest przekazywanie środków atakującym poprzez przechwytywanie lub inicjowanie fałszywych transakcji. Pix zyskał znaczną popularność w Brazylii, gdzie w marcu 2023 r. ponad 140 milionów użytkowników przeprowadziło transakcje o wartości przekraczającej 250 miliardów dolarów.
PixPirate wykorzystuje możliwości trojana dostępu zdalnego (RAT) do automatyzacji całego oszukańczego procesu, od przechwytywania danych uwierzytelniających użytkownika i kodów uwierzytelniania dwuskładnikowego po wykonywanie nieautoryzowanych przelewów pieniężnych Pix, a wszystko to potajemnie, bez wiedzy użytkownika. Jednak realizacja tych zadań wymaga uzyskania uprawnień usługi ułatwień dostępu.
Ponadto PixPirate zawiera awaryjny mechanizm kontroli ręcznej na wypadek, gdy zawiodą metody automatyczne, zapewniając atakującym alternatywny sposób przeprowadzania oszustw na urządzeniu. Badacze podkreślają również, że szkodliwe oprogramowanie wykorzystuje złośliwe powiadomienia push i potrafi wyłączać Google Play Protect, podstawową funkcję bezpieczeństwa platformy Android.
Chociaż metoda infekcji stosowana przez PixPirate nie jest przełomowa i można ją złagodzić poprzez powstrzymywanie się od pobierania nieautoryzowanych plików APK, przyjęcie przez nią strategii takich jak brak ikony i rejestracja usług powiązanych ze zdarzeniami systemowymi stanowi niepokojące i nowatorskie podejście.
