PixPirate Bankacılık Truva Atı
Şubat 2024'te siber güvenlik araştırmacıları, PixPirate olarak takip edilen, daha önce bilinmeyen bir Android kötü amaçlı yazılımının varlığını gün ışığına çıkardı. Bu tehdit, Latin Amerika'daki bankalara yönelik hedefli saldırılarda kullanıldı. Şu anda uzmanlar, PixPirate Bankacılık Truva Atı'nın, damlalık uygulaması kaldırıldıktan sonra bile cihazlarda varlığını sürdürmesini sağlayan yeni bir gizlilik tekniği içeren güncellenmiş bir versiyonunun ortaya çıktığı konusunda uyarıyor.
İçindekiler
PixPirate, Kurbanların Android Telefonlarından Bankacılık Bilgilerini Toplamak İçin İki Farklı Uygulamadan Yararlanıyor
Araştırmacılar, özellikle PixPirate olmak üzere kötü amaçlı yazılımların kullandığı geleneksel stratejiden önemli bir sapma olduğunu belirtti. Simgesini gizlemeye çalışan tipik kötü amaçlı yazılımların aksine (9'a kadar Android sürümlerinde mümkün olan bir taktik), PixPirate bunun yerine bir başlatıcı simgesi kullanmaz. Bu benzersiz yaklaşım, kötü amaçlı yazılımın, sürüm 14'e kadar uzanan güncel Android sistemlerinde gizli kalmasına olanak tanıyor. Ancak, bir simgenin yokluğu başka bir sorunu da beraberinde getiriyor: kurbanlara kötü amaçlı yazılımı başlatmaları için hiçbir yol sunmuyor. Bu sorunu aşmak için PixPirate, virüslü cihazlardan hassas verileri toplamak üzere birlikte çalışan iki farklı uygulama kullanıyor.
'İndirici' olarak adlandırılan ilk uygulama, APK'lar (Android Paket Dosyaları) olarak yayılır ve WhatsApp veya SMS gibi platformlarda kimlik avı mesajları yoluyla dağıtılır. Kurulumun ardından bu indirici uygulaması, Erişilebilirlik Hizmetleri de dahil olmak üzere yüksek riskli izinlere erişim ister. Daha sonra, şifrelenmiş PixPirate bankacılık kötü amaçlı yazılımı olan 'droppee' adı verilen ikinci uygulamayı getirip yüklemeye devam ediyor.
'Droppee' uygulaması, manifest dosyasında 'android.intent.action.MAIN' ve 'android.intent.category.LAUNCHER' ile birincil bir aktivite bildirmekten kaçınır, böylece ana ekranda bir simgenin bulunmamasını sağlayarak onu tamamen görselleştirir. göze çarpmayan. Bunun yerine, droppee uygulaması diğer uygulamaların erişebileceği bir hizmeti dışa aktarır. İndirici, PixPirate kötü amaçlı yazılımının gerektiği şekilde başlatılmasını başlatmak için bu hizmetle bağlantı kurar.
Çeşitli Tetikleyiciler PixPirate Bankacılık Truva Atı’nın Yürütülmesini Başlatabilir
Dropper uygulamasının kötü amaçlı yazılımı başlatma ve kontrol etme yeteneğine ek olarak PixPirate, aktif olarak izlediği cihazın başlatılması veya bağlantıdaki değişiklikler gibi çeşitli sistem olayları tarafından da tetiklenebilir. Bu, PixPirate'in kurbanın cihazının arka planında gizlice çalışmasına olanak tanır.
PixPirate'in droppee bileşeni, 'com.companian.date.sepherd' adında, dışa aktarılan ve 'com.ticket.stage.Service' özel eylemini kullanan bir amaç filtresiyle donatılmış bir hizmet içerir. İndirici droppee'yi etkinleştirmek istediğinde, 'BIND_AUTO_CREATE' bayrağıyla birlikte 'BindService' API'sini kullanarak bu hizmetle bağlantı kurar. Bu eylem, droppee hizmetinin oluşturulması ve yürütülmesiyle sonuçlanır.
Droppee hizmetinin oluşturulma ve bağlanma sürecinin ardından droppee APK başlatılır ve işlemlerine başlar. Bu noktada, kurban indirici uygulamayı cihazdan kaldırsa bile PixPirate, çeşitli cihaz olayları tarafından tetiklenen çalışmasını sürdürmeye devam ederken varlığını kullanıcıdan etkili bir şekilde gizleyebilir.
PixPirate Özel Olarak Pix Ödeme Platformunu Hedefliyor
Kötü amaçlı yazılım, özellikle Brezilya'daki Pix anlık ödeme platformunu hedef alıyor ve sahte işlemleri engelleyerek veya başlatarak fonları saldırganlara aktarmayı amaçlıyor. Pix, Mart 2023 itibarıyla 140 milyondan fazla kullanıcının 250 milyar doları aşan işlemler gerçekleştirmesiyle Brezilya'da önemli bir popülerlik kazandı.
PixPirate, kullanıcı kimlik bilgilerinin ve iki faktörlü kimlik doğrulama kodlarının ele geçirilmesinden yetkisiz Pix para transferlerinin gerçekleştirilmesine kadar tüm dolandırıcılık sürecini otomatikleştirmek için Uzaktan Erişim Trojan (RAT) yeteneklerinden yararlanır ve bunların tümünü kullanıcı farkında olmadan gizlice gerçekleştirir. Ancak bu görevleri gerçekleştirmek Erişilebilirlik Hizmeti izinlerinin alınmasını gerektirir.
Ek olarak PixPirate, otomatik yöntemlerin başarısız olduğu durumlar için geri dönüş manuel kontrol mekanizmasını da bünyesinde barındırarak saldırganlara cihaz üzerinde dolandırıcılık yapmaları için alternatif bir yol sunar. Araştırmacılar ayrıca, kötü amaçlı yazılımın anlık bildirim kötü amaçlı reklamcılığından yararlandığını ve Android platformunun temel bir güvenlik özelliği olan Google Play Korumayı devre dışı bırakma yeteneğini de vurguluyor.
PixPirate tarafından kullanılan bulaşma yöntemi çığır açıcı olmasa da ve yetkisiz APK'ların indirilmesinden kaçınılarak azaltılabilir olsa da, bir simgenin bulunmaması ve sistem olaylarına bağlı hizmetlerin kaydedilmesi gibi stratejilerin benimsenmesi endişe verici ve yeni bir yaklaşımı temsil ediyor.
