PixPirate బ్యాంకింగ్ ట్రోజన్
ఫిబ్రవరి 2024లో, సైబర్ సెక్యూరిటీ పరిశోధకులు PixPirateగా ట్రాక్ చేయబడిన మునుపు తెలియని Android మాల్వేర్ ఉనికిని వెలుగులోకి తెచ్చారు. ఈ ముప్పు లాటిన్ అమెరికాలో బ్యాంకులకు వ్యతిరేకంగా లక్షిత దాడుల్లో మోహరింపబడింది. ప్రస్తుతం, నిపుణులు పిక్స్పైరేట్ బ్యాంకింగ్ ట్రోజన్ యొక్క అప్డేట్ చేయబడిన పునరుక్తి కనిపించిందని హెచ్చరిస్తున్నారు, దాని డ్రాపర్ అప్లికేషన్ తీసివేయబడిన తర్వాత కూడా పరికరాలపై కొనసాగడానికి వీలు కల్పించే కొత్త స్టెల్త్ టెక్నిక్ని కలిగి ఉంది.
విషయ సూచిక
బాధితుల ఆండ్రాయిడ్ ఫోన్ల నుండి బ్యాంకింగ్ సమాచారాన్ని సేకరించేందుకు PixPirate రెండు వేర్వేరు అప్లికేషన్లను ఉపయోగిస్తుంది
మాల్వేర్, ముఖ్యంగా PixPirateతో ఉపయోగించే సాంప్రదాయిక వ్యూహం నుండి గణనీయమైన నిష్క్రమణను పరిశోధకులు గుర్తించారు. దాని చిహ్నాన్ని దాచడానికి ప్రయత్నించే సాధారణ మాల్వేర్ వలె కాకుండా, 9 వరకు Android సంస్కరణల్లో సాధ్యమయ్యే వ్యూహం, PixPirate బదులుగా లాంచర్ చిహ్నాన్ని పూర్తిగా ఉపయోగించదు. ఈ ప్రత్యేకమైన విధానం మాల్వేర్ను ఇటీవలి Android సిస్టమ్లలో దాచి ఉంచడానికి అనుమతిస్తుంది, ఇది వెర్షన్ 14 వరకు విస్తరించింది. అయితే, ఐకాన్ లేకపోవడం మరొక సవాలును అందిస్తుంది: బాధితులకు మాల్వేర్ను ప్రారంభించడానికి ఎటువంటి మార్గాన్ని అందించడం లేదు. ఈ సమస్యను అధిగమించడానికి, PixPirate సోకిన పరికరాల నుండి సున్నితమైన డేటాను సేకరించేందుకు సమిష్టిగా పనిచేసే రెండు విభిన్న అప్లికేషన్లను ఉపయోగిస్తుంది.
'డౌన్లోడర్'గా సూచించబడే ప్రారంభ అప్లికేషన్, APKలుగా (Android ప్యాకేజీ ఫైల్లు) వ్యాపించి, WhatsApp లేదా SMS వంటి ప్లాట్ఫారమ్లలో ఫిషింగ్ సందేశాల ద్వారా పంపిణీ చేయబడుతుంది. ఇన్స్టాల్ చేసిన తర్వాత, ఈ డౌన్లోడ్ అప్లికేషన్ యాక్సెసిబిలిటీ సర్వీసెస్తో సహా అధిక-రిస్క్ అనుమతులకు యాక్సెస్ను అభ్యర్థిస్తుంది. తదనంతరం, ఇది ఎన్క్రిప్టెడ్ PixPirate బ్యాంకింగ్ మాల్వేర్ అయిన 'డ్రాపీ'గా పిలువబడే రెండవ అప్లికేషన్ను పొందడం మరియు ఇన్స్టాల్ చేయడం కొనసాగిస్తుంది.
'droppee' అప్లికేషన్ దాని మానిఫెస్ట్లో 'android.intent.action.MAIN' మరియు 'android.intent.category.LAUNCHER'తో ప్రాథమిక కార్యాచరణను ప్రకటించకుండా దూరంగా ఉంటుంది, తద్వారా హోమ్ స్క్రీన్పై చిహ్నం లేకపోవడాన్ని నిర్ధారిస్తుంది, అది పూర్తిగా రెండర్ అవుతుంది అస్పష్టమైన. బదులుగా, ఇతర అప్లికేషన్లు యాక్సెస్ చేయగల సేవను డ్రాప్పీ అప్లికేషన్ ఎగుమతి చేస్తుంది. అవసరమైన విధంగా PixPirate మాల్వేర్ లాంచ్ను ప్రారంభించడానికి డౌన్లోడ్ చేసేవారు ఈ సేవకు కనెక్షన్ని ఏర్పాటు చేస్తారు.
వివిధ ట్రిగ్గర్లు PixPirate బ్యాంకింగ్ ట్రోజన్ యొక్క అమలును ప్రారంభించవచ్చు
మాల్వేర్ను ప్రారంభించడం మరియు నియంత్రించడం కోసం డ్రాపర్ అప్లికేషన్ యొక్క సామర్ధ్యంతో పాటు, PixPirate అనేది పరికరం బూటింగ్ లేదా కనెక్టివిటీలో మార్పులు వంటి వివిధ సిస్టమ్ ఈవెంట్ల ద్వారా కూడా ట్రిగ్గర్ చేయబడుతుంది, ఇది చురుకుగా పర్యవేక్షిస్తుంది. ఇది PixPirate బాధితుడి పరికరం నేపథ్యంలో రహస్యంగా పనిచేయడానికి వీలు కల్పిస్తుంది.
PixPirate యొక్క డ్రాప్పీ కాంపోనెంట్ 'com.companian.date.sepherd' పేరుతో సేవను కలిగి ఉంది, ఇది ఎగుమతి చేయబడుతుంది మరియు అనుకూల చర్య 'com.ticket.stage.Service'ని ఉపయోగించి ఇంటెంట్ ఫిల్టర్తో అమర్చబడింది. డౌన్లోడ్ చేసినవారు డ్రాప్పీని సక్రియం చేయాలని భావించినప్పుడు, అది 'BIND_AUTO_CREATE' ఫ్లాగ్తో పాటు 'BindService' APIని ఉపయోగించడం ద్వారా ఈ సేవతో కనెక్షన్ని ఏర్పరుస్తుంది. ఈ చర్య డ్రాప్పీ సేవ యొక్క సృష్టి మరియు అమలుకు దారి తీస్తుంది.
డ్రాప్పీ సేవ యొక్క సృష్టి మరియు బైండింగ్ ప్రక్రియను అనుసరించి, డ్రాప్పీ APK ప్రారంభించబడింది మరియు దాని కార్యకలాపాలను ప్రారంభించింది. ఈ సమయంలో, బాధితుడు పరికరం నుండి డౌన్లోడ్ అప్లికేషన్ను తీసివేసినప్పటికీ, PixPirate దాని ఉనికిని వినియోగదారు నుండి ప్రభావవంతంగా దాచిపెడుతూ, వివిధ పరికర ఈవెంట్ల ద్వారా ప్రేరేపించబడిన దాని ఆపరేషన్ను కొనసాగించవచ్చు.
PixPirate ప్రత్యేకంగా Pix చెల్లింపు ప్లాట్ఫారమ్ను లక్ష్యంగా చేసుకుంటుంది
మాల్వేర్ ప్రత్యేకంగా బ్రెజిల్లోని Pix తక్షణ చెల్లింపు ప్లాట్ఫారమ్ను లక్ష్యంగా చేసుకుంటుంది, మోసపూరిత లావాదేవీలను అడ్డుకోవడం లేదా ప్రారంభించడం ద్వారా దాడి చేసేవారికి నిధులను అందించడం లక్ష్యంగా పెట్టుకుంది. Pix బ్రెజిల్లో గణనీయమైన ప్రజాదరణ పొందింది, మార్చి 2023 నాటికి 140 మిలియన్ల మంది వినియోగదారులు $250 బిలియన్లకు మించి లావాదేవీలు నిర్వహిస్తున్నారు.
PixPirate మొత్తం మోసపూరిత ప్రక్రియను ఆటోమేట్ చేయడానికి రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) సామర్థ్యాలను ప్రభావితం చేస్తుంది, వినియోగదారు ఆధారాలు మరియు టూ-ఫాక్టర్ అథెంటికేషన్ కోడ్లను క్యాప్చర్ చేయడం నుండి అనధికారిక Pix మనీ ట్రాన్స్ఫర్లను అమలు చేయడం వరకు, అన్నీ రహస్యంగా వినియోగదారు అవగాహన లేకుండా. అయితే, ఈ టాస్క్లను సాధించడానికి యాక్సెసిబిలిటీ సర్వీస్ అనుమతులను పొందడం అవసరం.
అదనంగా, PixPirate స్వయంచాలక పద్ధతులు విఫలమైన సందర్భాల్లో ఫాల్బ్యాక్ మాన్యువల్ నియంత్రణ యంత్రాంగాన్ని కలిగి ఉంటుంది, దాడి చేసేవారికి పరికరంలో మోసం చేయడానికి ప్రత్యామ్నాయ మార్గాలను అందిస్తుంది. పుష్ నోటిఫికేషన్ మాల్వర్టైజింగ్ యొక్క మాల్వేర్ వినియోగం మరియు ఆండ్రాయిడ్ ప్లాట్ఫారమ్ యొక్క ప్రాథమిక భద్రతా ఫీచర్ అయిన Google Play Protectని నిలిపివేయగల సామర్థ్యాన్ని కూడా పరిశోధకులు హైలైట్ చేశారు.
PixPirate ద్వారా అమలు చేయబడిన ఇన్ఫెక్షన్ పద్ధతి సంచలనాత్మకమైనది కానప్పటికీ, అనధికారిక APKలను డౌన్లోడ్ చేయకుండా ఉండటం ద్వారా తగ్గించవచ్చు, ఐకాన్ లేకపోవడం మరియు సిస్టమ్ ఈవెంట్లకు కట్టుబడి సేవల నమోదు వంటి వ్యూహాలను అనుసరించడం సంబంధిత మరియు నవల విధానాన్ని సూచిస్తుంది.