Банківський троян PixPirate
У лютому 2024 року дослідники кібербезпеки виявили існування раніше невідомого зловмисного програмного забезпечення для Android, яке відстежувалося як PixPirate. Цю загрозу використовували в цілеспрямованих атаках на банки в Латинській Америці. Наразі експерти попереджають, що з’явилася оновлена ітерація банківського трояна PixPirate, яка містить нову техніку скритності, яка дозволяє йому зберігатися на пристроях навіть після того, як його додаток-дропер було видалено.
Зміст
PixPirate використовує дві різні програми для збору банківської інформації з Android-телефонів жертв
Дослідники помітили значний відхід від традиційної стратегії, яку використовують шкідливі програми, зокрема PixPirate. На відміну від типового зловмисного програмного забезпечення, яке намагається приховати свій значок, тактика, можлива на версіях Android до 9, PixPirate натомість не використовує значок запуску взагалі. Цей унікальний підхід дозволяє зловмисному програмному забезпеченню залишатися прихованим у останніх системах Android, аж до версії 14. Однак відсутність піктограми створює ще одну проблему: жертвам не надається жодних засобів для запуску зловмисного програмного забезпечення. Щоб уникнути цієї проблеми, PixPirate використовує дві різні програми, які працюють у тандемі для збору конфіденційних даних із заражених пристроїв.
Початкова програма, яку називають «завантажувачем», поширюється як APK (файли пакетів Android) і розповсюджується через фішингові повідомлення на таких платформах, як WhatsApp або SMS. Після інсталяції ця програма-завантажувач запитує доступ до дозволів із високим ризиком, зокрема до служб доступності. Згодом він отримує та встановлює другу програму під назвою «droppee», яка є зашифрованою банківською шкідливою програмою PixPirate.
Програма «droppee» утримується від оголошення основної діяльності з «android.intent.action.MAIN» і «android.intent.category.LAUNCHER» у своєму маніфесті, таким чином гарантуючи відсутність піктограми на головному екрані, відтворюючи його повністю малопомітний. Замість цього програма Droppee експортує службу, до якої мають доступ інші програми. Завантажувач встановлює з’єднання з цією службою, щоб ініціювати запуск шкідливого програмного забезпечення PixPirate за потреби.
Різні тригери можуть почати виконання банківського трояна PixPirate
На додаток до можливості програми-дропера ініціювати та контролювати зловмисне програмне забезпечення, PixPirate також може запускатися різними системними подіями, такими як завантаження пристрою або зміни підключення, які він активно відстежує. Це дозволяє PixPirate працювати таємно у фоновому режимі пристрою жертви.
Компонент droppee PixPirate містить службу під назвою «com.companian.date.sepherd», яка експортується та оснащена фільтром намірів із використанням спеціальної дії «com.ticket.stage.Service». Коли завантажувач має намір активувати droppee, він встановлює з’єднання з цією службою, використовуючи API «BindService» разом із прапорцем «BIND_AUTO_CREATE». Ця дія призводить до створення та виконання служби droppee.
Після процесу створення та зв’язування служби droppee запускається та починає працювати файл APK droppee. На цьому етапі, навіть якщо жертва видаляє програму завантаження з пристрою, PixPirate може продовжувати підтримувати свою роботу, викликану різними подіями на пристрої, ефективно приховуючи свою присутність від користувача.
PixPirate націлений саме на платіжну платформу Pix
Зловмисне програмне забезпечення спеціально націлено на платформу миттєвих платежів Pix у Бразилії, щоб перекачувати кошти зловмисникам шляхом перехоплення або ініціювання шахрайських транзакцій. Pix набув значної популярності в Бразилії, станом на березень 2023 року понад 140 мільйонів користувачів здійснили транзакції на суму понад 250 мільярдів доларів.
PixPirate використовує можливості Remote Access Trojan (RAT) для автоматизації всього процесу шахрайства, від захоплення облікових даних користувача та кодів двофакторної автентифікації до виконання неавторизованих грошових переказів Pix, і все це непомітно без відома користувача. Однак для виконання цих завдань потрібно отримати дозволи Accessibility Service.
Крім того, PixPirate містить резервний ручний механізм керування для випадків, коли автоматизовані методи не дають збою, надаючи зловмисникам альтернативний спосіб шахрайства на пристрої. Дослідники також підкреслюють, що зловмисне програмне забезпечення використовує зловмисну рекламу через push-повідомлення та його здатність відключати Google Play Protect, фундаментальну функцію безпеки платформи Android.
Хоча метод зараження, який використовує PixPirate, не є новаторським і його можна пом’якшити, утримуючись від завантаження неавторизованих файлів APK, застосування таких стратегій, як відсутність піктограми та реєстрація служб, прив’язаних до системних подій, представляє занепокоєння та новий підхід.
