PixPirate Banking Trojan
Noong Pebrero 2024, inihayag ng mga mananaliksik sa cybersecurity ang pagkakaroon ng dati nang hindi kilalang Android malware na sinusubaybayan bilang PixPirate. Ang banta na ito ay na-deploy sa mga target na pag-atake laban sa mga bangko sa Latin America. Sa kasalukuyan, ang mga eksperto ay nagbabala na ang isang na-update na pag-ulit ng PixPirate Banking Trojan ay lumitaw, na nagtatampok ng isang bagong stealth na pamamaraan na nagbibigay-daan dito upang magpatuloy sa mga device kahit na matapos ang dropper application nito ay tinanggal.
Talaan ng mga Nilalaman
Gumagamit ang PixPirate ng Dalawang Magkaibang Application para Mangolekta ng Impormasyon sa Pagbabangko mula sa Mga Android Phone ng Mga Biktima
Napansin ng mga mananaliksik ang isang makabuluhang pag-alis mula sa kumbensyonal na diskarte na ginagamit ng malware, lalo na sa PixPirate. Hindi tulad ng karaniwang malware na nagsisikap na itago ang icon nito, isang taktika na posible sa mga bersyon ng Android hanggang 9, ang PixPirate sa halip ay hindi gumagamit ng icon ng launcher sa kabuuan. Ang natatanging diskarte na ito ay nagbibigay-daan sa malware na manatiling nakatago sa mga kamakailang Android system, na umaabot hanggang sa bersyon 14. Gayunpaman, ang kawalan ng icon ay naghaharap ng isa pang hamon: hindi nagbibigay ng paraan para sa mga biktima na simulan ang malware. Upang iwasan ang isyung ito, gumagamit ang PixPirate ng dalawang natatanging application na gumagana nang magkasabay upang mag-harvest ng sensitibong data mula sa mga nahawaang device.
Ang paunang application, na tinutukoy bilang 'downloader,' ay kumakalat bilang mga APK (Android Package Files) at ipinamamahagi sa pamamagitan ng mga mensahe sa phishing sa mga platform tulad ng WhatsApp o SMS. Sa pag-install, ang downloader application na ito ay humihiling ng access sa mga high-risk na pahintulot, kabilang ang Accessibility Services. Kasunod nito, nagpapatuloy ito upang kunin at i-install ang pangalawang application, na tinatawag na 'droppee,' na ang naka-encrypt na PixPirate banking malware.
Ang application na 'droppee' ay umiiwas sa pagdedeklara ng isang pangunahing aktibidad gamit ang 'android.intent.action.MAIN' at 'android.intent.category.LAUNCHER' sa manifest nito, sa gayo'y tinitiyak ang kawalan ng icon sa home screen, na ganap itong na-render hindi mahalata. Sa halip, ang droppee application ay nag-e-export ng isang serbisyo na maaaring ma-access ng ibang mga application. Ang nag-download ay nagtatatag ng isang koneksyon sa serbisyong ito upang simulan ang paglulunsad ng PixPirate malware kung kinakailangan.
Maaaring Simulan ng Iba’t ibang Trigger ang Pagpapatupad ng PixPirate Banking Trojan
Bilang karagdagan sa kakayahan ng dropper application na simulan at kontrolin ang malware, ang PixPirate ay maaari ding ma-trigger ng iba't ibang mga kaganapan sa system, tulad ng pag-boot ng device o mga pagbabago sa pagkakakonekta, na aktibong sinusubaybayan nito. Nagbibigay-daan ito sa PixPirate na palihim na gumana sa background ng device ng biktima.
Nagtatampok ang droppee component ng PixPirate ng serbisyong pinangalanang 'com.companian.date.sepherd,' na na-export at nilagyan ng intent filter na gumagamit ng custom na aksyon na 'com.ticket.stage.Service.' Kapag nilayon ng downloader na i-activate ang droppee, nagtatatag ito ng koneksyon sa serbisyong ito sa pamamagitan ng paggamit ng 'BindService' API kasama ang flag na 'BIND_AUTO_CREATE'. Ang pagkilos na ito ay nagreresulta sa paglikha at pagpapatupad ng serbisyo ng droppee.
Kasunod ng paggawa at proseso ng pagbubuklod ng serbisyo ng droppee, inilulunsad ang droppee APK at sinisimulan ang mga operasyon nito. Sa puntong ito, kahit na alisin ng biktima ang application sa pag-download mula sa device, maaaring magpatuloy ang PixPirate na mapanatili ang operasyon nito, na na-trigger ng iba't ibang mga kaganapan sa device, habang epektibong itinatago ang presensya nito mula sa user.
Tinutukoy ng PixPirate ang Pix Payment Platform
Partikular na tina-target ng malware ang platform ng instant na pagbabayad ng Pix sa Brazil, na naglalayong mag-siphon ng mga pondo sa mga umaatake sa pamamagitan ng pagharang o pagsisimula ng mga mapanlinlang na transaksyon. Ang Pix ay nakakuha ng malaking katanyagan sa Brazil, na may mahigit 140 milyong user na nagsasagawa ng mga transaksyon na lampas sa $250 bilyon noong Marso 2023.
Ginagamit ng PixPirate ang mga kakayahan ng Remote Access Trojan (RAT) upang i-automate ang buong proseso ng mapanlinlang, mula sa pagkuha ng mga kredensyal ng user at two-factor authentication code hanggang sa pagsasagawa ng mga hindi awtorisadong paglilipat ng pera ng Pix, lahat nang palihim nang hindi nalalaman ng user. Gayunpaman, ang pagkamit ng mga gawaing ito ay nangangailangan ng pagkuha ng mga pahintulot ng Serbisyo sa Pagiging Magagamit.
Bukod pa rito, isinasama ng PixPirate ang isang fallback manual control mechanism para sa mga pagkakataon kung saan nabigo ang mga automated na pamamaraan, na nagbibigay sa mga attacker ng alternatibong paraan upang magsagawa ng on-device na panloloko. Itinatampok din ng mga mananaliksik ang paggamit ng malware ng push notification malvertising at ang kakayahang i-disable ang Google Play Protect, isang pangunahing tampok sa seguridad ng Android platform.
Bagama't ang paraan ng impeksyon na ginagamit ng PixPirate ay hindi groundbreaking at maaaring mabawasan sa pamamagitan ng pag-iwas sa pag-download ng mga hindi awtorisadong APK, ang pagpapatibay nito ng mga diskarte tulad ng kawalan ng icon at ang pagpaparehistro ng mga serbisyong nakatali sa mga kaganapan sa system ay kumakatawan sa isang may kinalaman at bagong diskarte.
