Bankový trójsky kôň PixPirate
Vo februári 2024 výskumníci v oblasti kybernetickej bezpečnosti odhalili existenciu predtým neznámeho škodlivého softvéru pre Android, ktorý bol sledovaný ako PixPirate. Táto hrozba bola nasadená pri cielených útokoch proti bankám v Latinskej Amerike. V súčasnosti odborníci upozorňujú, že sa objavila aktualizovaná iterácia trójskeho koňa PixPirate Banking, ktorá obsahuje novú techniku stealth, ktorá mu umožňuje pretrvať na zariadeniach aj po odstránení aplikácie dropper.
Obsah
PixPirate využíva dve rôzne aplikácie na zhromažďovanie bankových informácií z telefónov obetí s Androidom
Výskumníci zaznamenali významný odklon od konvenčnej stratégie používanej malvérom, najmä s PixPirate. Na rozdiel od typického malvéru, ktorý sa snaží skryť svoju ikonu, čo je taktika možná vo verziách Androidu do 9, PixPirate namiesto toho vôbec nepoužíva ikonu spúšťača. Tento jedinečný prístup umožňuje, aby malvér zostal skrytý v najnovších systémoch Android, a to až do verzie 14. Absencia ikony však predstavuje ďalšiu výzvu: neposkytnúť obetiam žiadne prostriedky na spustenie malvéru. Na obídenie tohto problému používa PixPirate dve odlišné aplikácie, ktoré spolupracujú na zbere citlivých údajov z infikovaných zariadení.
Počiatočná aplikácia, označovaná ako „downloader“, sa šíri ako súbory APK (Android Package Files) a distribuuje sa prostredníctvom phishingových správ na platformách ako WhatsApp alebo SMS. Po inštalácii táto aplikácia na sťahovanie požaduje prístup k vysoko rizikovým povoleniam vrátane služieb dostupnosti. Následne pristúpi k stiahnutiu a inštalácii druhej aplikácie nazvanej „droppee“, čo je šifrovaný bankový malvér PixPirate.
Aplikácia „droppee“ sa zdrží deklarovania primárnej aktivity s „android.intent.action.MAIN“ a „android.intent.category.LAUNCHER“ vo svojom manifeste, čím zaistí absenciu ikony na domovskej obrazovke, čím ju úplne vykreslí nenápadný. Namiesto toho aplikácia droppee exportuje službu, ku ktorej majú prístup iné aplikácie. Downloader vytvorí spojenie s touto službou, aby podľa potreby inicioval spustenie malvéru PixPirate.
Rôzne spúšťače môžu spustiť spustenie trójskeho koňa PixPirate Banking
Okrem schopnosti aplikácie dropper iniciovať a kontrolovať malvér môže byť PixPirate spustený aj rôznymi systémovými udalosťami, ako je bootovanie zariadenia alebo zmeny v konektivite, ktoré aktívne monitoruje. To umožňuje PixPirate pracovať tajne na pozadí zariadenia obete.
Komponent droppee PixPirate obsahuje službu s názvom „com.companian.date.sepherd“, ktorá je exportovaná a vybavená filtrom zámerov využívajúcim vlastnú akciu „com.ticket.stage.Service“. Keď má downloader v úmysle aktivovať droppee, vytvorí spojenie s touto službou pomocou API 'BindService' spolu s príznakom 'BIND_AUTO_CREATE'. Výsledkom tejto akcie je vytvorenie a spustenie služby droppee.
Po vytvorení a procese viazania služby droppee sa spustí súbor droppee APK a začne fungovať. V tomto bode, aj keď obeť odstráni aplikáciu na stiahnutie zo zariadenia, PixPirate môže pokračovať v udržiavaní svojej činnosti, spúšťanej rôznymi udalosťami zariadenia, pričom svoju prítomnosť pred používateľom účinne skrýva.
PixPirate sa zameriava konkrétne na platobnú platformu Pix
Malvér sa špecificky zameriava na platformu okamžitých platieb Pix v Brazílii s cieľom odčerpať finančné prostriedky útočníkom zachytením alebo spustením podvodných transakcií. Pix získal značnú popularitu v Brazílii, s viac ako 140 miliónmi používateľov, ktorí vykonali transakcie presahujúce 250 miliárd USD v marci 2023.
PixPirate využíva funkcie Remote Access Trojan (RAT) na automatizáciu celého podvodného procesu, od získania používateľských poverení a dvojfaktorových overovacích kódov až po vykonávanie neautorizovaných prevodov peňazí Pix, a to všetko tajne bez vedomia používateľa. Dosiahnutie týchto úloh si však vyžaduje získanie povolení služby Accessibility Service.
PixPirate navyše obsahuje záložný ručný kontrolný mechanizmus pre prípady, keď automatizované metódy zlyhajú, čím poskytuje útočníkom alternatívne prostriedky na vykonanie podvodu na zariadení. Výskumníci tiež zdôrazňujú, že malvér využíva škodlivú inzerciu upozornení push a jeho schopnosť deaktivovať Google Play Protect, základnú bezpečnostnú funkciu platformy Android.
Zatiaľ čo metóda infekcie, ktorú používa PixPirate, nie je prelomová a možno ju zmierniť tým, že sa zdrží sťahovania neautorizovaných súborov APK, jej prijatie stratégií, ako je absencia ikony a registrácia služieb viazaných na systémové udalosti, predstavuje znepokojujúci a nový prístup.
