PixPirate банковни тројанац
У фебруару 2024, истраживачи сајбер безбедности су открили постојање раније непознатог Андроид малвера праћеног као ПикПирате. Ова претња је распоређена у циљаним нападима на банке у Латинској Америци. Тренутно, стручњаци упозоравају да се појавила ажурирана итерација банковног тројанца ПикПирате, која садржи нову технику прикривања која му омогућава да опстане на уређајима чак и након што је његова апликација за испуштање уклоњена.
Преглед садржаја
PixPirate користи две различите апликације за прикупљање банкарских информација са Андроид телефона жртава
Истраживачи су приметили значајно одступање од конвенционалне стратегије коју користи малвер, посебно код ПикПирате-а. За разлику од типичног малвера који настоји да сакрије своју икону, што је тактика могућа на Андроид верзијама до 9, ПикПирате уместо тога не користи у потпуности икону покретача. Овај јединствени приступ омогућава да малвер остане скривен на најновијим Андроид системима, проширујући се до верзије 14. Међутим, одсуство иконе представља још један изазов: не пружање средстава жртвама да покрену малвер. Да би заобишао овај проблем, ПикПирате користи две различите апликације које раде у тандему за прикупљање осетљивих података са заражених уређаја.
Иницијална апликација, која се назива 'довнлоадер', шири се као АПК-ови (Андроид пакети датотека) и дистрибуира се путем пхисхинг порука на платформама као што су ВхатсАпп или СМС. Након инсталације, ова апликација за преузимање захтева приступ високоризичним дозволама, укључујући услуге приступачности. Након тога, наставља да преузима и инсталира другу апликацију, названу 'дроппее', која је шифровани ПикПирате банкарски малвер.
Апликација 'дроппее' се уздржава од декларисања примарне активности са 'андроид.интент.ацтион.МАИН' и 'андроид.интент.цатегори.ЛАУНЦХЕР' у свом манифесту, чиме се осигурава одсуство иконе на почетном екрану, што је у потпуности приказује неупадљив. Уместо тога, дроппее апликација извози услугу којој друге апликације могу да приступе. Програм за преузимање успоставља везу са овом услугом како би покренуо покретање злонамерног софтвера ПикПирате по потреби.
Различити покретачи могу покренути извршење банковног тројанца ПикПирате
Поред могућности дроппер апликације да покрене и контролише малвер, ПикПирате такође може бити покренут разним системским догађајима, као што су покретање уређаја или промене у повезивању, које активно надгледа. Ово омогућава ПикПирате-у да тајно ради у позадини уређаја жртве.
Дроппее компонента ПикПирате-а садржи услугу под називом 'цом.цомпаниан.дате.сепхерд', која се извози и опремљена филтером намере који користи прилагођену акцију 'цом.тицкет.стаге.Сервице'. Када преузимач намерава да активира дроппее, он успоставља везу са овом услугом користећи 'БиндСервице' АПИ заједно са 'БИНД_АУТО_ЦРЕАТЕ' заставицом. Ова акција резултира креирањем и извршавањем дроппее услуге.
Након процеса креирања и везивања дроппее услуге, дроппее АПК се покреће и почиње са радом. У овом тренутку, чак и ако жртва уклони апликацију за преузимање са уређаја, ПикПирате може наставити да одржава свој рад, изазван разним догађајима на уређају, док ефективно прикрива своје присуство од корисника.
ПикПирате посебно циља на Пик платформу за плаћање
Злонамерни софтвер посебно циља на платформу за тренутно плаћање Пик у Бразилу, са циљем да превуче средства нападачима пресретањем или покретањем лажних трансакција. Пик је стекао значајну популарност у Бразилу, са преко 140 милиона корисника који су обавили трансакције које премашују 250 милијарди долара од марта 2023.
ПикПирате користи могућности Тројанца за даљински приступ (РАТ) да аутоматизује цео процес преваре, од хватања корисничких акредитива и двофакторних кодова за аутентификацију до извршавања неовлашћених Пик трансфера новца, све у тајности без свести корисника. Међутим, постизање ових задатака захтева добијање дозвола за услугу приступачности.
Поред тога, ПикПирате укључује резервни механизам ручне контроле за случајеве када аутоматизоване методе не успеју, пружајући нападачима алтернативна средства за вршење преваре на уређају. Истраживачи такође истичу да малвер користи малвертискање пусх обавештења и његову способност да онемогући Гоогле Плаи Протецт, основну безбедносну функцију Андроид платформе.
Иако метод заразе који користи ПикПирате није револуционаран и може се ублажити уздржавањем од преузимања неовлашћених АПК-ова, његово усвајање стратегија као што је одсуство иконе и регистрација услуга везаних за системске догађаје представља забрињавајући и нов приступ.
