PixPirate Banking Trojan
Em fevereiro de 2024, os pesquisadores de segurança cibernética revelaram a existência de um malware Android até então desconhecido, rastreados o como PixPirate. Esta ameaça foi implementada em ataques direcionados contra bancos na América Latina. Atualmente, os especialistas alertam que surgiu uma iteração atualizada do Trojan Bancário PixPirate, apresentando uma nova técnica furtiva que permite persistir nos dispositivos mesmo depois que seu aplicativo conta-gotas tiver sido removido.
Índice
O PixPirate Utiliza Dois Aplicativos Diferentes para Coletar Informações Bancárias dos Telefones Android das Vítimas
Os pesquisadores notaram um afastamento significativo da estratégia convencional empregada pelo malware, especialmente com o PixPirate. Ao contrário do malware típico que tenta ocultar seu ícone, uma tática possível em versões do Android até 9, o PixPirate não usa um ícone de inicialização. Esta abordagem única permite que o malware permaneça oculto em sistemas Android recentes, estendendo-se até a versão 14. No entanto, a ausência de um ícone apresenta outro desafio: não fornecer meios para as vítimas iniciarem o malware. Para contornar esse problema, o PixPirate emprega dois aplicativos distintos que funcionam em conjunto para coletar dados confidenciais dos dispositivos infectados.
O aplicativo inicial, conhecido como ‘downloader’, é espalhado como APKs (Android Package Files) e distribuído por meio de mensagens de phishing em plataformas como WhatsApp ou SMS. Após a instalação, este aplicativo de download solicita acesso a permissões de alto risco, incluindo Serviços de Acessibilidade. Posteriormente, ele busca e instala o segundo aplicativo, denominado ‘droppee’, que é o malware bancário criptografado PixPirate.
O aplicativo 'droppee' se abstém de declarar uma atividade primária com 'android.intent.action.MAIN' e 'android.intent.category.LAUNCHER' em seu manifesto, garantindo assim a ausência de ícone na tela inicial, tornando-a inteiramente imperceptível. Em vez disso, o aplicativo droppee exporta um serviço que outros aplicativos podem acessar. O downloader estabelece uma conexão com este serviço para iniciar o lançamento do malware PixPirate conforme necessário.
Vários Gatilhos podem Iniciar a Execução do Trojan Bancário PixPirate
Além da capacidade do aplicativo dropper de iniciar e controlar o malware, o PixPirate também pode ser acionado por vários eventos do sistema, como inicialização do dispositivo ou alterações na conectividade, que ele monitora ativamente. Isso permite que o PixPirate opere secretamente no fundo do dispositivo da vítima.
O componente droppee do PixPirate apresenta um serviço chamado ‘com.companian.date.sepherd’, que é exportado e equipado com um filtro de intenção utilizando a ação personalizada ‘com.ticket.stage.Service’. Quando o downloader pretende ativar o droppee, ele estabelece uma conexão com este serviço utilizando a API 'BindService' junto com o sinalizador 'BIND_AUTO_CREATE'. Esta ação resulta na criação e execução do serviço droppee.
Após o processo de criação e vinculação do serviço droppee, o APK droppee é lançado e inicia suas operações. Neste ponto, mesmo que a vítima remova o aplicativo de download do dispositivo, o PixPirate pode continuar a manter seu funcionamento, acionado por diversos eventos do dispositivo, ao mesmo tempo que oculta efetivamente sua presença do usuário.
O PixPirate Visa Especificamente a Plataforma de Pagamento Pix
O malware tem como alvo específico a plataforma de pagamento instantâneo Pix no Brasil, com o objetivo de desviar fundos para invasores, interceptando ou iniciando transações fraudulentas. O Pix ganhou popularidade significativa no Brasil, com mais de 140 milhões de usuários realizando transações superiores a US$250 bilhões em março de 2023.
PixPirate aproveita os recursos do Trojan de acesso remoto (RAT) para automatizar todo o processo fraudulento, desde a captura de credenciais do usuário e códigos de autenticação de dois fatores até a execução de transferências não autorizadas de dinheiro Pix, tudo furtivamente, sem o conhecimento do usuário. No entanto, a realização destas tarefas requer a obtenção de permissões do Serviço de Acessibilidade.
Além disso, o PixPirate incorpora um mecanismo de controle manual alternativo para casos em que métodos automatizados falham, fornecendo aos invasores um meio alternativo de realizar fraudes no dispositivo. Os pesquisadores também destacam a utilização de malvertising de notificação push pelo malware e sua capacidade de desativar o Google Play Protect, um recurso de segurança fundamental da plataforma Android.
Embora o método de infecção empregado pelo PixPirate não seja inovador e possa ser mitigado evitando o download de APKs não autorizados, a adoção de estratégias como a ausência de ícone e o registro de serviços vinculados a eventos do sistema representa uma abordagem preocupante e inovadora.
