PixPirate Banking Trojan
Në shkurt 2024, studiuesit e sigurisë kibernetike sollën në dritë ekzistencën e një malware të panjohur më parë Android, të gjurmuar si PixPirate. Ky kërcënim është vendosur në sulmet e synuara kundër bankave në Amerikën Latine. Aktualisht, ekspertët paralajmërojnë se një përsëritje e përditësuar e PixPirate Banking Trojan është shfaqur, duke shfaqur një teknikë të re stealth që i mundëson atij të vazhdojë në pajisje edhe pasi të jetë hequr aplikacioni i tij pikatore.
Tabela e Përmbajtjes
PixPirate përdor dy aplikacione të ndryshme për të mbledhur informacione bankare nga telefonat Android të viktimave
Studiuesit kanë vërejtur një largim të rëndësishëm nga strategjia konvencionale e përdorur nga malware, veçanërisht me PixPirate. Ndryshe nga malware tipik që përpiqet të fshehë ikonën e tij, një taktikë e mundshme në versionet Android deri në 9, PixPirate në vend të kësaj nuk përdor një ikonë lëshuese fare. Kjo qasje unike mundëson që malware të mbetet i fshehur në sistemet e fundit Android, duke u shtrirë deri në versionin 14. Megjithatë, mungesa e një ikone paraqet një sfidë tjetër: nuk ofron mjete për viktimat për të iniciuar malware. Për të anashkaluar këtë çështje, PixPirate përdor dy aplikacione të dallueshme që punojnë së bashku për të mbledhur të dhëna të ndjeshme nga pajisjet e infektuara.
Aplikacioni fillestar, i referuar si 'shkarkuesi', përhapet si APK (Android Package Files) dhe shpërndahet nëpërmjet mesazheve phishing në platforma si WhatsApp ose SMS. Pas instalimit, ky aplikacion shkarkues kërkon qasje në lejet me rrezik të lartë, duke përfshirë Shërbimet e Aksesueshmërisë. Më pas, ai vazhdon të marrë dhe instalojë aplikacionin e dytë, të quajtur 'droppee', i cili është malware i koduar bankar PixPirate.
Aplikacioni 'droppee' abstenon nga deklarimi i një aktiviteti parësor me 'android.intent.action.MAIN' dhe 'android.intent.category.LAUNCHER' në manifestin e tij, duke siguruar kështu mungesën e një ikone në ekranin bazë, duke e bërë atë tërësisht i padukshëm. Në vend të kësaj, aplikacioni droppee eksporton një shërbim që aplikacionet e tjera mund të kenë akses. Shkarkuesi krijon një lidhje me këtë shërbim për të nisur lëshimin e malware PixPirate sipas nevojës.
Shkaktarë të ndryshëm mund të fillojnë ekzekutimin e Trojanit Bankar PixPirate
Përveç aftësisë së aplikacionit dropper për të inicuar dhe kontrolluar malware, PixPirate mund të aktivizohet gjithashtu nga ngjarje të ndryshme të sistemit, të tilla si nisja e pajisjes ose ndryshimet në lidhje, të cilat i monitoron në mënyrë aktive. Kjo mundëson që PixPirate të funksionojë në mënyrë të fshehtë në sfondin e pajisjes së viktimës.
Komponenti droppee i PixPirate përmban një shërbim të quajtur "com.companian.date.sepherd", i cili eksportohet dhe pajiset me një filtër qëllimi duke përdorur veprimin e personalizuar "com.ticket.stage.Service". Kur shkarkuesi synon të aktivizojë droppee, ai krijon një lidhje me këtë shërbim duke përdorur API-në 'BindService' së bashku me flamurin 'BIND_AUTO_CREATE'. Ky veprim rezulton në krijimin dhe ekzekutimin e shërbimit droppee.
Pas krijimit dhe procesit të lidhjes së shërbimit droppee, droppee APK lëshohet dhe fillon funksionimin e tij. Në këtë pikë, edhe nëse viktima heq aplikacionin e shkarkimit nga pajisja, PixPirate mund të vazhdojë të ruajë funksionimin e tij, të shkaktuar nga ngjarje të ndryshme të pajisjes, duke fshehur efektivisht praninë e tij nga përdoruesi.
PixPirate synon në mënyrë specifike platformën e pagesave Pix
Malware synon në mënyrë specifike platformën e pagesave të menjëhershme Pix në Brazil, duke synuar të mbledhë fondet për sulmuesit duke përgjuar ose nisur transaksione mashtruese. Pix ka fituar një popullaritet të konsiderueshëm në Brazil, me mbi 140 milionë përdorues që kryejnë transaksione që tejkalojnë 250 miliardë dollarë që nga marsi 2023.
PixPirate përdor aftësitë Remote Access Trojan (RAT) për të automatizuar të gjithë procesin mashtrues, nga kapja e kredencialeve të përdoruesve dhe kodeve të vërtetimit me dy faktorë deri te ekzekutimi i transfertave të paautorizuara të parave Pix, të gjitha tinëzisht pa vetëdijen e përdoruesit. Megjithatë, arritja e këtyre detyrave kërkon marrjen e lejeve të Shërbimit të Aksesueshmërisë.
Për më tepër, PixPirate përfshin një mekanizëm kontrolli manual për rastet kur metodat e automatizuara dështojnë, duke u ofruar sulmuesve një mjet alternativ për të kryer mashtrime në pajisje. Studiuesit theksojnë gjithashtu përdorimin e malware të keqverifikimeve të njoftimeve shtytëse dhe aftësinë e tij për të çaktivizuar Google Play Protect, një veçori themelore e sigurisë së platformës Android.
Ndërsa metoda e infektimit e përdorur nga PixPirate nuk është novatore dhe mund të zbutet duke mos shkarkuar APK të paautorizuara, miratimi i strategjive të tilla si mungesa e një ikone dhe regjistrimi i shërbimeve të lidhura me ngjarjet e sistemit përfaqëson një qasje shqetësuese dhe të re.
