Troian PixPirate Banking
În februarie 2024, cercetătorii în domeniul securității cibernetice au scos la lumină existența unui malware Android necunoscut anterior, urmărit ca PixPirate. Această amenințare a fost implementată în atacuri direcționate împotriva băncilor din America Latină. În prezent, experții avertizează că a apărut o iterație actualizată a troianului PixPirate Banking, cu o nouă tehnică ascunsă care îi permite să persistă pe dispozitive chiar și după ce aplicația dropper a fost eliminată.
Cuprins
PixPirate utilizează două aplicații diferite pentru a colecta informații bancare de pe telefoanele Android ale victimelor
Cercetătorii au observat o abatere semnificativă de la strategia convențională folosită de malware, în special cu PixPirate. Spre deosebire de programele malware obișnuite care încearcă să-și ascundă pictograma, o tactică posibilă pe versiunile Android până la 9, PixPirate nu folosește în schimb o pictogramă de lansare. Această abordare unică permite malware-ului să rămână ascuns pe sistemele Android recente, extinzându-se până la versiunea 14. Cu toate acestea, absența unei pictograme prezintă o altă provocare: nu oferi victimelor mijloace de a iniția malware-ul. Pentru a evita această problemă, PixPirate folosește două aplicații distincte care funcționează în tandem pentru a colecta date sensibile de pe dispozitivele infectate.
Aplicația inițială, denumită „descărcător”, este răspândită ca APK-uri (Fișiere de pachete Android) și distribuită prin mesaje de phishing pe platforme precum WhatsApp sau SMS. La instalare, această aplicație de descărcare solicită acces la permisiuni cu risc ridicat, inclusiv Servicii de accesibilitate. Ulterior, preia și instalează cea de-a doua aplicație, numită „droppee”, care este programul malware bancar criptat PixPirate.
Aplicația „droppee” se abține de la declararea unei activități primare cu „android.intent.action.MAIN” și „android.intent.category.LAUNCHER” în manifestul său, asigurând astfel absența unei pictograme pe ecranul de start, redând-o în întregime discretă. În schimb, aplicația droppee exportă un serviciu pe care îl pot accesa alte aplicații. Descărcătorul stabilește o conexiune la acest serviciu pentru a iniția lansarea malware-ului PixPirate, după cum este necesar.
Diverse declanșatoare pot începe execuția troianului bancar PixPirate
Pe lângă capacitatea aplicației dropper de a iniția și controla malware-ul, PixPirate poate fi declanșat și de diverse evenimente de sistem, cum ar fi pornirea dispozitivului sau schimbările de conectivitate, pe care le monitorizează activ. Acest lucru permite PixPirate să funcționeze pe ascuns în fundalul dispozitivului victimei.
Componenta droppee a PixPirate include un serviciu numit „com.companian.date.sepherd”, care este exportat și echipat cu un filtru de intenții care utilizează acțiunea personalizată „com.ticket.stage.Service”. Când descărcatorul intenționează să activeze droppee, stabilește o conexiune cu acest serviciu utilizând API-ul „BindService” împreună cu indicatorul „BIND_AUTO_CREATE”. Această acțiune are ca rezultat crearea și execuția serviciului droppee.
În urma procesului de creare și legare a serviciului droppee, APK-ul droppee este lansat și își începe operațiunile. În acest moment, chiar dacă victima elimină aplicația de descărcare de pe dispozitiv, PixPirate poate continua să-și mențină funcționarea, declanșată de diverse evenimente din dispozitiv, ascunzându-și în mod eficient prezența utilizatorului.
PixPirate vizează în mod specific platforma de plată Pix
Malware-ul vizează în mod special platforma de plată instant Pix din Brazilia, având ca scop să sifoneze fonduri către atacatori prin interceptarea sau inițierea de tranzacții frauduloase. Pix a câștigat o popularitate semnificativă în Brazilia, cu peste 140 de milioane de utilizatori care efectuează tranzacții de peste 250 de miliarde de dolari în martie 2023.
PixPirate folosește capabilitățile Trojan de acces la distanță (RAT) pentru a automatiza întregul proces fraudulos, de la capturarea acreditărilor utilizatorului și a codurilor de autentificare cu doi factori până la executarea transferurilor de bani Pix neautorizate, toate în mod ascuns, fără conștientizarea utilizatorului. Cu toate acestea, realizarea acestor sarcini necesită obținerea permisiunilor Serviciului de accesibilitate.
În plus, PixPirate încorporează un mecanism de control manual alternativ pentru cazurile în care metodele automate eșuează, oferind atacatorilor un mijloc alternativ de a efectua fraude pe dispozitiv. Cercetătorii evidențiază, de asemenea, utilizarea de către malware a notificărilor push și capacitatea sa de a dezactiva Google Play Protect, o caracteristică fundamentală de securitate a platformei Android.
În timp ce metoda de infecție folosită de PixPirate nu este inovatoare și poate fi atenuată prin abținerea de la descărcarea APK-urilor neautorizate, adoptarea de strategii precum absența unei pictograme și înregistrarea serviciilor legate de evenimentele din sistem reprezintă o abordare îngrijorătoare și nouă.
