PixPirate வங்கி ட்ரோஜன்
பிப்ரவரி 2024 இல், சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள், PixPirate என கண்காணிக்கப்பட்ட முன்பு அறியப்படாத ஆண்ட்ராய்டு மால்வேர் இருப்பதை வெளிச்சத்திற்குக் கொண்டு வந்தனர். லத்தீன் அமெரிக்காவில் வங்கிகளுக்கு எதிரான இலக்கு தாக்குதல்களில் இந்த அச்சுறுத்தல் பயன்படுத்தப்பட்டது. தற்போது, PixPirate Banking Trojan இன் புதுப்பிக்கப்பட்ட மறு செய்கை தோன்றியுள்ளதாக நிபுணர்கள் எச்சரிக்கின்றனர், இது ஒரு புதிய திருட்டுத்தனமான நுட்பத்தை கொண்டுள்ளது, அதன் துளிசொட்டி பயன்பாடு அகற்றப்பட்ட பின்னரும் சாதனங்களில் தொடர்ந்து செயல்பட உதவுகிறது.
பொருளடக்கம்
PixPirate பாதிக்கப்பட்டவர்களின் ஆண்ட்ராய்டு ஃபோன்களில் இருந்து வங்கித் தகவல்களைச் சேகரிக்க இரண்டு வெவ்வேறு பயன்பாடுகளைப் பயன்படுத்துகிறது
மால்வேர், குறிப்பாக PixPirate மூலம் பயன்படுத்தப்படும் வழக்கமான உத்தியில் இருந்து குறிப்பிடத்தக்க விலகலை ஆராய்ச்சியாளர்கள் குறிப்பிட்டுள்ளனர். அதன் ஐகானை மறைக்க முயற்சிக்கும் வழக்கமான தீம்பொருளைப் போலன்றி, 9 வரையிலான ஆண்ட்ராய்டு பதிப்புகளில் சாத்தியமான ஒரு தந்திரம், PixPirate அதற்குப் பதிலாக லாஞ்சர் ஐகானை முழுவதுமாகப் பயன்படுத்தாது. இந்த தனித்துவமான அணுகுமுறை, சமீபத்திய ஆண்ட்ராய்டு சிஸ்டங்களில் மால்வேரை மறைத்து, பதிப்பு 14 வரை நீட்டிக்க உதவுகிறது. இருப்பினும், ஐகான் இல்லாதது மற்றொரு சவாலை அளிக்கிறது: பாதிக்கப்பட்டவர்களுக்கு தீம்பொருளைத் தொடங்க எந்த வழியையும் வழங்கவில்லை. இந்த சிக்கலைத் தவிர்க்க, PixPirate இரண்டு தனித்துவமான பயன்பாடுகளைப் பயன்படுத்துகிறது, அவை பாதிக்கப்பட்ட சாதனங்களிலிருந்து முக்கியமான தரவை அறுவடை செய்ய இணைந்து செயல்படுகின்றன.
'டவுன்லோடர்' என குறிப்பிடப்படும் ஆரம்பப் பயன்பாடு, APKகளாக (Android Package Files) பரவி, WhatsApp அல்லது SMS போன்ற தளங்களில் ஃபிஷிங் செய்திகள் மூலம் விநியோகிக்கப்படுகிறது. நிறுவியவுடன், இந்த டவுன்லோடர் ஆப்ஸ், அணுகல்தன்மை சேவைகள் உட்பட அதிக ஆபத்துள்ள அனுமதிகளுக்கான அணுகலைக் கோருகிறது. அதைத் தொடர்ந்து, மறைகுறியாக்கப்பட்ட PixPirate வங்கி தீம்பொருளான 'droppee' என அழைக்கப்படும் இரண்டாவது பயன்பாட்டைப் பெற்று நிறுவுகிறது.
'droppee' பயன்பாடு அதன் மேனிஃபெஸ்ட்டில் 'android.intent.action.MAIN' மற்றும் 'android.intent.category.LAUNCHER' உடன் முதன்மைச் செயல்பாட்டை அறிவிப்பதில் இருந்து விலகி, முகப்புத் திரையில் ஐகான் இல்லாததை உறுதிசெய்து, அதை முழுவதுமாக வழங்குகிறது. கண்ணுக்குத் தெரியாத. அதற்கு பதிலாக, பிற பயன்பாடுகள் அணுகக்கூடிய ஒரு சேவையை டிராப்பி பயன்பாடு ஏற்றுமதி செய்கிறது. தேவைக்கேற்ப PixPirate மால்வேரைத் தொடங்குவதற்கு, பதிவிறக்குபவர் இந்தச் சேவைக்கான இணைப்பை நிறுவுகிறார்.
பல்வேறு தூண்டுதல்கள் PixPirate வங்கி ட்ரோஜனின் செயல்பாட்டைத் தொடங்கலாம்
தீம்பொருளைத் தொடங்குவதற்கும் கட்டுப்படுத்துவதற்கும் டிராப்பர் பயன்பாட்டின் திறனுடன் கூடுதலாக, சாதனம் துவக்குதல் அல்லது இணைப்பில் ஏற்படும் மாற்றங்கள் போன்ற பல்வேறு கணினி நிகழ்வுகளாலும் PixPirate தூண்டப்படலாம், இது தீவிரமாக கண்காணிக்கிறது. இது PixPirate ஐ பாதிக்கப்பட்டவரின் சாதனத்தின் பின்னணியில் மறைமுகமாக செயல்பட உதவுகிறது.
PixPirate இன் droppee கூறு, 'com.companian.date.sepherd' என்ற சேவையைக் கொண்டுள்ளது, இது ஏற்றுமதி செய்யப்பட்டு, 'com.ticket.stage.Service' என்ற தனிப்பயன் செயலைப் பயன்படுத்தி ஒரு உள்நோக்க வடிகட்டியுடன் பொருத்தப்பட்டுள்ளது. டவுன்லோடர் டிராப்பீயை செயல்படுத்த நினைக்கும் போது, அது 'BIND_AUTO_CREATE' கொடியுடன் 'BindService' API ஐப் பயன்படுத்தி இந்தச் சேவையுடன் இணைப்பை ஏற்படுத்துகிறது. இந்தச் செயலானது டிராப்பி சேவையை உருவாக்கி செயல்படுத்துகிறது.
droppee சேவையின் உருவாக்கம் மற்றும் பிணைப்பு செயல்முறையைத் தொடர்ந்து, droppee APK தொடங்கப்பட்டு அதன் செயல்பாடுகளைத் தொடங்குகிறது. இந்த கட்டத்தில், பாதிக்கப்பட்டவர் சாதனத்திலிருந்து டவுன்லோடர் பயன்பாட்டை அகற்றினாலும், PixPirate அதன் செயல்பாட்டைத் தொடர்ந்து பராமரிக்க முடியும், பல்வேறு சாதன நிகழ்வுகளால் தூண்டப்படுகிறது, அதே நேரத்தில் பயனரிடமிருந்து அதன் இருப்பை திறம்பட மறைக்கிறது.
PixPirate குறிப்பாக Pix கட்டண தளத்தை குறிவைக்கிறது
தீம்பொருள் குறிப்பாக பிரேசிலில் உள்ள Pix உடனடி கட்டண தளத்தை குறிவைக்கிறது, மோசடியான பரிவர்த்தனைகளை இடைமறித்து அல்லது தொடங்குவதன் மூலம் தாக்குதல் நடத்துபவர்களுக்கு நிதியை வழங்குவதை நோக்கமாகக் கொண்டுள்ளது. மார்ச் 2023 நிலவரப்படி, 140 மில்லியனுக்கும் அதிகமான பயனர்கள் $250 பில்லியனுக்கும் அதிகமான பரிவர்த்தனைகளை நடத்தி பிரேசிலில் Pix குறிப்பிடத்தக்க பிரபலத்தைப் பெற்றுள்ளது.
பயனர் நற்சான்றிதழ்கள் மற்றும் இரு காரணி அங்கீகாரக் குறியீடுகளைப் பிடிப்பதில் இருந்து, பயனர் விழிப்புணர்வு இல்லாமல் திருட்டுத்தனமாக, அங்கீகரிக்கப்படாத Pix பணப் பரிமாற்றங்களைச் செயல்படுத்துவது வரை, முழு மோசடி செயல்முறையையும் தானியக்கமாக்குவதற்கான ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) திறன்களை PixPirate பயன்படுத்துகிறது. இருப்பினும், இந்தப் பணிகளைச் செய்வதற்கு அணுகல் சேவை அனுமதிகளைப் பெற வேண்டும்.
கூடுதலாக, PixPirate தன்னியக்க முறைகள் தோல்வியடையும் நிகழ்வுகளுக்கான ஃபால்பேக் கையேடு கட்டுப்பாட்டு பொறிமுறையை ஒருங்கிணைக்கிறது, தாக்குபவர்களுக்கு சாதனத்தில் மோசடி செய்ய மாற்று வழிகளை வழங்குகிறது. புஷ் நோட்டிஃபிகேஷன் மால்வர்டைசிங்கில் தீம்பொருளின் பயன்பாடு மற்றும் ஆண்ட்ராய்டு இயங்குதளத்தின் அடிப்படை பாதுகாப்பு அம்சமான கூகுள் ப்ளே ப்ரோடெக்டை முடக்கும் திறனையும் ஆராய்ச்சியாளர்கள் எடுத்துக்காட்டுகின்றனர்.
PixPirate ஆல் பயன்படுத்தப்படும் நோய்த்தொற்று முறை புத்திசாலித்தனமாக இல்லை மற்றும் அங்கீகரிக்கப்படாத APK களைப் பதிவிறக்குவதைத் தவிர்ப்பதன் மூலம் குறைக்க முடியும் என்றாலும், ஐகான் இல்லாதது மற்றும் கணினி நிகழ்வுகளுக்குக் கட்டுப்பட்ட சேவைகளைப் பதிவு செய்தல் போன்ற உத்திகளை அது ஏற்றுக்கொள்வது ஒரு புதுமையான அணுகுமுறையைக் குறிக்கிறது.
