PixPirate బ్యాంకింగ్ ట్రోజన్

ఫిబ్రవరి 2024లో, సైబర్‌ సెక్యూరిటీ పరిశోధకులు PixPirateగా ట్రాక్ చేయబడిన మునుపు తెలియని Android మాల్వేర్ ఉనికిని వెలుగులోకి తెచ్చారు. ఈ ముప్పు లాటిన్ అమెరికాలో బ్యాంకులకు వ్యతిరేకంగా లక్షిత దాడుల్లో మోహరింపబడింది. ప్రస్తుతం, నిపుణులు పిక్స్‌పైరేట్ బ్యాంకింగ్ ట్రోజన్ యొక్క అప్‌డేట్ చేయబడిన పునరుక్తి కనిపించిందని హెచ్చరిస్తున్నారు, దాని డ్రాపర్ అప్లికేషన్ తీసివేయబడిన తర్వాత కూడా పరికరాలపై కొనసాగడానికి వీలు కల్పించే కొత్త స్టెల్త్ టెక్నిక్‌ని కలిగి ఉంది.

బాధితుల ఆండ్రాయిడ్ ఫోన్‌ల నుండి బ్యాంకింగ్ సమాచారాన్ని సేకరించేందుకు PixPirate రెండు వేర్వేరు అప్లికేషన్‌లను ఉపయోగిస్తుంది

మాల్వేర్, ముఖ్యంగా PixPirateతో ఉపయోగించే సాంప్రదాయిక వ్యూహం నుండి గణనీయమైన నిష్క్రమణను పరిశోధకులు గుర్తించారు. దాని చిహ్నాన్ని దాచడానికి ప్రయత్నించే సాధారణ మాల్వేర్ వలె కాకుండా, 9 వరకు Android సంస్కరణల్లో సాధ్యమయ్యే వ్యూహం, PixPirate బదులుగా లాంచర్ చిహ్నాన్ని పూర్తిగా ఉపయోగించదు. ఈ ప్రత్యేకమైన విధానం మాల్వేర్‌ను ఇటీవలి Android సిస్టమ్‌లలో దాచి ఉంచడానికి అనుమతిస్తుంది, ఇది వెర్షన్ 14 వరకు విస్తరించింది. అయితే, ఐకాన్ లేకపోవడం మరొక సవాలును అందిస్తుంది: బాధితులకు మాల్వేర్‌ను ప్రారంభించడానికి ఎటువంటి మార్గాన్ని అందించడం లేదు. ఈ సమస్యను అధిగమించడానికి, PixPirate సోకిన పరికరాల నుండి సున్నితమైన డేటాను సేకరించేందుకు సమిష్టిగా పనిచేసే రెండు విభిన్న అప్లికేషన్‌లను ఉపయోగిస్తుంది.

'డౌన్‌లోడర్'గా సూచించబడే ప్రారంభ అప్లికేషన్, APKలుగా (Android ప్యాకేజీ ఫైల్‌లు) వ్యాపించి, WhatsApp లేదా SMS వంటి ప్లాట్‌ఫారమ్‌లలో ఫిషింగ్ సందేశాల ద్వారా పంపిణీ చేయబడుతుంది. ఇన్‌స్టాల్ చేసిన తర్వాత, ఈ డౌన్‌లోడ్ అప్లికేషన్ యాక్సెసిబిలిటీ సర్వీసెస్‌తో సహా అధిక-రిస్క్ అనుమతులకు యాక్సెస్‌ను అభ్యర్థిస్తుంది. తదనంతరం, ఇది ఎన్‌క్రిప్టెడ్ PixPirate బ్యాంకింగ్ మాల్వేర్ అయిన 'డ్రాపీ'గా పిలువబడే రెండవ అప్లికేషన్‌ను పొందడం మరియు ఇన్‌స్టాల్ చేయడం కొనసాగిస్తుంది.

'droppee' అప్లికేషన్ దాని మానిఫెస్ట్‌లో 'android.intent.action.MAIN' మరియు 'android.intent.category.LAUNCHER'తో ప్రాథమిక కార్యాచరణను ప్రకటించకుండా దూరంగా ఉంటుంది, తద్వారా హోమ్ స్క్రీన్‌పై చిహ్నం లేకపోవడాన్ని నిర్ధారిస్తుంది, అది పూర్తిగా రెండర్ అవుతుంది అస్పష్టమైన. బదులుగా, ఇతర అప్లికేషన్‌లు యాక్సెస్ చేయగల సేవను డ్రాప్పీ అప్లికేషన్ ఎగుమతి చేస్తుంది. అవసరమైన విధంగా PixPirate మాల్వేర్ లాంచ్‌ను ప్రారంభించడానికి డౌన్‌లోడ్ చేసేవారు ఈ సేవకు కనెక్షన్‌ని ఏర్పాటు చేస్తారు.

వివిధ ట్రిగ్గర్లు PixPirate బ్యాంకింగ్ ట్రోజన్ యొక్క అమలును ప్రారంభించవచ్చు

మాల్వేర్‌ను ప్రారంభించడం మరియు నియంత్రించడం కోసం డ్రాపర్ అప్లికేషన్ యొక్క సామర్ధ్యంతో పాటు, PixPirate అనేది పరికరం బూటింగ్ లేదా కనెక్టివిటీలో మార్పులు వంటి వివిధ సిస్టమ్ ఈవెంట్‌ల ద్వారా కూడా ట్రిగ్గర్ చేయబడుతుంది, ఇది చురుకుగా పర్యవేక్షిస్తుంది. ఇది PixPirate బాధితుడి పరికరం నేపథ్యంలో రహస్యంగా పనిచేయడానికి వీలు కల్పిస్తుంది.

PixPirate యొక్క డ్రాప్పీ కాంపోనెంట్ 'com.companian.date.sepherd' పేరుతో సేవను కలిగి ఉంది, ఇది ఎగుమతి చేయబడుతుంది మరియు అనుకూల చర్య 'com.ticket.stage.Service'ని ఉపయోగించి ఇంటెంట్ ఫిల్టర్‌తో అమర్చబడింది. డౌన్‌లోడ్ చేసినవారు డ్రాప్‌పీని సక్రియం చేయాలని భావించినప్పుడు, అది 'BIND_AUTO_CREATE' ఫ్లాగ్‌తో పాటు 'BindService' APIని ఉపయోగించడం ద్వారా ఈ సేవతో కనెక్షన్‌ని ఏర్పరుస్తుంది. ఈ చర్య డ్రాప్పీ సేవ యొక్క సృష్టి మరియు అమలుకు దారి తీస్తుంది.

డ్రాప్పీ సేవ యొక్క సృష్టి మరియు బైండింగ్ ప్రక్రియను అనుసరించి, డ్రాప్పీ APK ప్రారంభించబడింది మరియు దాని కార్యకలాపాలను ప్రారంభించింది. ఈ సమయంలో, బాధితుడు పరికరం నుండి డౌన్‌లోడ్ అప్లికేషన్‌ను తీసివేసినప్పటికీ, PixPirate దాని ఉనికిని వినియోగదారు నుండి ప్రభావవంతంగా దాచిపెడుతూ, వివిధ పరికర ఈవెంట్‌ల ద్వారా ప్రేరేపించబడిన దాని ఆపరేషన్‌ను కొనసాగించవచ్చు.

PixPirate ప్రత్యేకంగా Pix చెల్లింపు ప్లాట్‌ఫారమ్‌ను లక్ష్యంగా చేసుకుంటుంది

మాల్వేర్ ప్రత్యేకంగా బ్రెజిల్‌లోని Pix తక్షణ చెల్లింపు ప్లాట్‌ఫారమ్‌ను లక్ష్యంగా చేసుకుంటుంది, మోసపూరిత లావాదేవీలను అడ్డుకోవడం లేదా ప్రారంభించడం ద్వారా దాడి చేసేవారికి నిధులను అందించడం లక్ష్యంగా పెట్టుకుంది. Pix బ్రెజిల్‌లో గణనీయమైన ప్రజాదరణ పొందింది, మార్చి 2023 నాటికి 140 మిలియన్ల మంది వినియోగదారులు $250 బిలియన్లకు మించి లావాదేవీలు నిర్వహిస్తున్నారు.

PixPirate మొత్తం మోసపూరిత ప్రక్రియను ఆటోమేట్ చేయడానికి రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) సామర్థ్యాలను ప్రభావితం చేస్తుంది, వినియోగదారు ఆధారాలు మరియు టూ-ఫాక్టర్ అథెంటికేషన్ కోడ్‌లను క్యాప్చర్ చేయడం నుండి అనధికారిక Pix మనీ ట్రాన్స్‌ఫర్‌లను అమలు చేయడం వరకు, అన్నీ రహస్యంగా వినియోగదారు అవగాహన లేకుండా. అయితే, ఈ టాస్క్‌లను సాధించడానికి యాక్సెసిబిలిటీ సర్వీస్ అనుమతులను పొందడం అవసరం.

అదనంగా, PixPirate స్వయంచాలక పద్ధతులు విఫలమైన సందర్భాల్లో ఫాల్‌బ్యాక్ మాన్యువల్ నియంత్రణ యంత్రాంగాన్ని కలిగి ఉంటుంది, దాడి చేసేవారికి పరికరంలో మోసం చేయడానికి ప్రత్యామ్నాయ మార్గాలను అందిస్తుంది. పుష్ నోటిఫికేషన్ మాల్వర్టైజింగ్ యొక్క మాల్వేర్ వినియోగం మరియు ఆండ్రాయిడ్ ప్లాట్‌ఫారమ్ యొక్క ప్రాథమిక భద్రతా ఫీచర్ అయిన Google Play Protectని నిలిపివేయగల సామర్థ్యాన్ని కూడా పరిశోధకులు హైలైట్ చేశారు.

PixPirate ద్వారా అమలు చేయబడిన ఇన్ఫెక్షన్ పద్ధతి సంచలనాత్మకమైనది కానప్పటికీ, అనధికారిక APKలను డౌన్‌లోడ్ చేయకుండా ఉండటం ద్వారా తగ్గించవచ్చు, ఐకాన్ లేకపోవడం మరియు సిస్టమ్ ఈవెంట్‌లకు కట్టుబడి సేవల నమోదు వంటి వ్యూహాలను అనుసరించడం సంబంధిత మరియు నవల విధానాన్ని సూచిస్తుంది.