โทรจัน PixPirate Banking
ในเดือนกุมภาพันธ์ 2024 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยการมีอยู่ของมัลแวร์ Android ที่ไม่รู้จักซึ่งก่อนหน้านี้ถูกติดตามในชื่อ PixPirate ภัยคุกคามนี้ถูกนำไปใช้ในการโจมตีแบบกำหนดเป้าหมายต่อธนาคารในละตินอเมริกา ในปัจจุบัน ผู้เชี่ยวชาญเตือนว่ามีการอัพเดตซ้ำของโทรจัน PixPirate Banking เกิดขึ้นแล้ว โดยมีเทคนิคการซ่อนตัวแบบใหม่ที่ทำให้สามารถคงอยู่ในอุปกรณ์ได้ แม้ว่าแอปพลิเคชั่น Dropper จะถูกลบออกไปแล้วก็ตาม
สารบัญ
PixPirate ใช้แอปพลิเคชั่นสองตัวที่แตกต่างกันเพื่อรวบรวมข้อมูลธนาคารจากโทรศัพท์ Android ของเหยื่อ
นักวิจัยได้สังเกตเห็นความแตกต่างที่สำคัญจากกลยุทธ์ทั่วไปที่ใช้กับมัลแวร์ โดยเฉพาะอย่างยิ่งกับ PixPirate แตกต่างจากมัลแวร์ทั่วไปที่พยายามปกปิดไอคอน ซึ่งเป็นกลยุทธ์ที่เป็นไปได้ใน Android เวอร์ชันสูงสุด 9 แต่ PixPirate จะไม่ใช้ไอคอน Launcher เลย วิธีการที่เป็นเอกลักษณ์นี้ช่วยให้มัลแวร์ยังคงซ่อนอยู่ในระบบ Android ล่าสุด โดยขยายไปถึงเวอร์ชัน 14 อย่างไรก็ตาม การไม่มีไอคอนทำให้เกิดความท้าทายอีกประการหนึ่ง นั่นคือ การไม่ให้เหยื่อสามารถเริ่มต้นมัลแวร์ได้ เพื่อหลีกเลี่ยงปัญหานี้ PixPirate จึงใช้แอปพลิเคชันสองตัวที่แตกต่างกันซึ่งทำงานควบคู่กันไปเพื่อรวบรวมข้อมูลสำคัญจากอุปกรณ์ที่ติดไวรัส
แอปพลิเคชันเริ่มแรกซึ่งเรียกว่า 'ตัวดาวน์โหลด' แพร่กระจายในรูปแบบ APK (ไฟล์แพ็คเกจ Android) และเผยแพร่ผ่านข้อความฟิชชิ่งบนแพลตฟอร์ม เช่น WhatsApp หรือ SMS เมื่อติดตั้ง แอปพลิเคชันดาวน์โหลดนี้จะร้องขอการเข้าถึงสิทธิ์ที่มีความเสี่ยงสูง รวมถึงบริการการเข้าถึง จากนั้นจะดำเนินการดึงข้อมูลและติดตั้งแอปพลิเคชันตัวที่สองซึ่งมีชื่อว่า 'droppee' ซึ่งเป็นมัลแวร์ PixPirate Banking ที่เข้ารหัส
แอปพลิเคชัน 'droppee' งดเว้นจากการประกาศกิจกรรมหลักด้วย 'android.intent.action.MAIN' และ 'android.intent.category.LAUNCHER' ในรายการ ดังนั้นจึงมั่นใจได้ว่าไม่มีไอคอนบนหน้าจอหลัก แสดงผลทั้งหมด ไม่เด่น แอปพลิเคชัน droppee จะส่งออกบริการที่แอปพลิเคชันอื่นสามารถเข้าถึงได้แทน โปรแกรมดาวน์โหลดจะสร้างการเชื่อมต่อกับบริการนี้เพื่อเริ่มต้นการเปิดตัวมัลแวร์ PixPirate ตามต้องการ
ทริกเกอร์ต่างๆ สามารถเริ่มการทำงานของโทรจัน PixPirate Banking ได้
นอกเหนือจากความสามารถของแอปพลิเคชันหยดในการเริ่มต้นและควบคุมมัลแวร์แล้ว PixPirate ยังสามารถถูกกระตุ้นโดยเหตุการณ์ของระบบต่างๆ เช่น การบูตอุปกรณ์หรือการเปลี่ยนแปลงในการเชื่อมต่อที่ตรวจสอบอยู่ สิ่งนี้ทำให้ PixPirate สามารถทำงานอย่างซ่อนเร้นในพื้นหลังของอุปกรณ์ของเหยื่อได้
องค์ประกอบ droppee ของ PixPirate มีบริการชื่อ 'com.companian.date.sepherd' ซึ่งได้รับการส่งออกและติดตั้งตัวกรองเจตนาโดยใช้การกระทำที่กำหนดเอง 'com.ticket.stage.Service' เมื่อผู้ดาวน์โหลดตั้งใจที่จะเปิดใช้งาน droppee มันจะสร้างการเชื่อมต่อกับบริการนี้โดยใช้ API 'BindService' พร้อมกับแฟล็ก 'BIND_AUTO_CREATE' การกระทำนี้ส่งผลให้เกิดการสร้างและการดำเนินการบริการ droppee
หลังจากการสร้างและกระบวนการผูกมัดของบริการ droppee แล้ว droppee APK จะเปิดตัวและเริ่มดำเนินการ ณ จุดนี้ แม้ว่าเหยื่อจะลบแอปพลิเคชั่นดาวน์โหลดออกจากอุปกรณ์ แต่ PixPirate ก็สามารถรักษาการทำงานต่อไปได้ ซึ่งถูกกระตุ้นโดยเหตุการณ์ต่าง ๆ ของอุปกรณ์ ในขณะที่ปกปิดการแสดงตนจากผู้ใช้ได้อย่างมีประสิทธิภาพ
PixPirate กำหนดเป้าหมายแพลตฟอร์มการชำระเงิน Pix โดยเฉพาะ
มัลแวร์มุ่งเป้าไปที่แพลตฟอร์มการชำระเงินทันทีของ Pix ในบราซิลโดยเฉพาะ โดยมีเป้าหมายเพื่อสูบฉีดเงินให้กับผู้โจมตีโดยการสกัดกั้นหรือเริ่มธุรกรรมที่ฉ้อโกง Pix ได้รับความนิยมอย่างมากในบราซิล โดยมีผู้ใช้มากกว่า 140 ล้านคนที่ทำธุรกรรมเกิน 250 พันล้านดอลลาร์ ณ เดือนมีนาคม 2566
PixPirate ใช้ประโยชน์จากความสามารถของ Remote Access Trojan (RAT) เพื่อทำให้กระบวนการฉ้อโกงทั้งหมดเป็นอัตโนมัติ ตั้งแต่การเก็บข้อมูลรับรองผู้ใช้และรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย ไปจนถึงการดำเนินการโอนเงิน Pix โดยไม่ได้รับอนุญาต ทั้งหมดนี้เป็นความลับโดยที่ผู้ใช้ไม่รับรู้ อย่างไรก็ตาม การบรรลุภารกิจเหล่านี้ต้องได้รับสิทธิ์ในบริการการเข้าถึง
นอกจากนี้ PixPirate ยังรวมเอากลไกการควบคุมด้วยตนเองสำรองสำหรับกรณีที่วิธีการอัตโนมัติล้มเหลว ช่วยให้ผู้โจมตีมีทางเลือกอื่นในการดำเนินการฉ้อโกงบนอุปกรณ์ นักวิจัยยังเน้นย้ำถึงการใช้มัลแวร์ในการแจ้งเตือนแบบพุชและความสามารถในการปิดการใช้งาน Google Play Protect ซึ่งเป็นคุณสมบัติความปลอดภัยพื้นฐานของแพลตฟอร์ม Android
แม้ว่าวิธีการติดไวรัสที่ PixPirate ใช้นั้นไม่ได้แปลกใหม่และสามารถบรรเทาลงได้โดยการละเว้นจากการดาวน์โหลด APK ที่ไม่ได้รับอนุญาต แต่การนำกลยุทธ์ต่างๆ มาใช้ เช่น การไม่มีไอคอน และการลงทะเบียนบริการที่เชื่อมโยงกับเหตุการณ์ของระบบ ถือเป็นแนวทางใหม่ที่น่ากังวลและแปลกใหม่
