PixPirate bančni trojanec
Februarja 2024 so raziskovalci kibernetske varnosti razkrili obstoj prej neznane zlonamerne programske opreme Android, ki je bila označena kot PixPirate. Ta grožnja je bila uporabljena v ciljanih napadih na banke v Latinski Ameriki. Trenutno strokovnjaki opozarjajo, da se je pojavila posodobljena različica bančnega trojanca PixPirate, ki vsebuje novo prikrito tehniko, ki mu omogoča, da vztraja na napravah tudi po odstranitvi njegove aplikacije dropper.
Kazalo
PixPirate uporablja dve različni aplikaciji za zbiranje bančnih informacij iz telefonov Android žrtev
Raziskovalci so opazili pomemben odmik od običajne strategije, ki jo uporablja zlonamerna programska oprema, zlasti pri PixPirate. Za razliko od tipične zlonamerne programske opreme, ki si prizadeva prikriti svojo ikono, kar je možna taktika v različicah Androida do 9, PixPirate namesto tega v celoti ne uporablja ikone zaganjalnika. Ta edinstven pristop omogoča, da zlonamerna programska oprema ostane skrita v novejših sistemih Android, vse do različice 14. Vendar pa odsotnost ikone predstavlja še en izziv: žrtvam ne zagotavlja nobenega načina, da bi sprožile zlonamerno programsko opremo. Da bi zaobšel to težavo, PixPirate uporablja dve različni aplikaciji, ki delujeta v tandemu za zbiranje občutljivih podatkov iz okuženih naprav.
Začetna aplikacija, imenovana "prenosnik", se širi kot APK-ji (datoteke paketov Android) in distribuira prek lažnih sporočil na platformah, kot sta WhatsApp ali SMS. Po namestitvi ta aplikacija za prenos zahteva dostop do dovoljenj z visokim tveganjem, vključno s storitvami dostopnosti. Nato nadaljuje s pridobivanjem in namestitvijo druge aplikacije, imenovane 'droppee', ki je šifrirana bančna zlonamerna programska oprema PixPirate.
Aplikacija 'droppee' se vzdrži razglasitve primarne dejavnosti z 'android.intent.action.MAIN' in 'android.intent.category.LAUNCHER' v svojem manifestu, s čimer zagotovi odsotnost ikone na začetnem zaslonu in jo v celoti upodablja neopazen. Namesto tega aplikacija droppee izvozi storitev, do katere lahko dostopajo druge aplikacije. Prenosnik vzpostavi povezavo s to storitvijo, da po potrebi sproži zagon zlonamerne programske opreme PixPirate.
Različni sprožilci lahko sprožijo izvajanje bančnega trojanca PixPirate
Poleg zmožnosti aplikacije dropper, da sproži in nadzoruje zlonamerno programsko opremo, lahko PixPirate sprožijo tudi različni sistemski dogodki, kot je zagon naprave ali spremembe v povezljivosti, ki jih aktivno spremlja. To omogoča PixPirate prikrito delovanje v ozadju žrtvine naprave.
Komponenta droppee PixPirate vključuje storitev z imenom 'com.companian.date.sepherd', ki je izvožena in opremljena s filtrom namena, ki uporablja dejanje po meri 'com.ticket.stage.Service.' Ko namerava prenosnik aktivirati droppee, vzpostavi povezavo s to storitvijo z uporabo API-ja 'BindService' skupaj z zastavico 'BIND_AUTO_CREATE'. Posledica tega dejanja je ustvarjanje in izvajanje storitve droppee.
Po postopku ustvarjanja in vezave storitve droppee se APK droppee zažene in začne delovati. Na tej točki, tudi če žrtev odstrani aplikacijo za prenos z naprave, lahko PixPirate še naprej ohranja svoje delovanje, ki ga sprožijo različni dogodki v napravi, hkrati pa učinkovito prikrije svojo prisotnost pred uporabnikom.
PixPirate cilja posebej na plačilno platformo Pix
Zlonamerna programska oprema je posebej usmerjena na platformo za takojšnje plačevanje Pix v Braziliji, katere cilj je izčrpati sredstva napadalcem s prestrezanjem ali sprožitvijo goljufivih transakcij. Pix je pridobil veliko popularnost v Braziliji, saj je marca 2023 več kot 140 milijonov uporabnikov opravilo transakcije, ki so presegle 250 milijard dolarjev.
PixPirate izkorišča zmožnosti oddaljenega dostopa Trojan (RAT) za avtomatizacijo celotnega goljufivega procesa, od zajemanja uporabniških poverilnic in dvofaktorskih kod za preverjanje pristnosti do izvajanja nepooblaščenih denarnih prenosov Pix, vse prikrito brez zavedanja uporabnika. Vendar pa je za doseganje teh nalog potrebno pridobiti dovoljenja storitve dostopnosti.
Poleg tega PixPirate vključuje nadomestni ročni nadzorni mehanizem za primere, ko avtomatizirane metode odpovejo, kar napadalcem nudi alternativno sredstvo za izvajanje goljufije na napravi. Raziskovalci prav tako poudarjajo, da zlonamerna programska oprema uporablja zlonamerno oglaševanje s potisnimi obvestili in njeno zmožnost, da onemogoči Google Play Protect, temeljno varnostno funkcijo platforme Android.
Medtem ko metoda okužbe, ki jo uporablja PixPirate, ni prelomna in jo je mogoče ublažiti z opustitvijo prenosa nepooblaščenih APK-jev, njeno sprejetje strategij, kot sta odsotnost ikone in registracija storitev, vezanih na sistemske dogodke, predstavlja zaskrbljujoč in nov pristop.
