Trojan ngân hàng PixPirate
Vào tháng 2 năm 2024, các nhà nghiên cứu an ninh mạng đã phát hiện ra sự tồn tại của một phần mềm độc hại Android chưa được biết đến trước đây có tên là PixPirate. Mối đe dọa này đã được triển khai trong các cuộc tấn công có chủ đích nhằm vào các ngân hàng ở Mỹ Latinh. Hiện tại, các chuyên gia cảnh báo rằng một phiên bản cập nhật của Trojan PixPirate Banking đã xuất hiện, có kỹ thuật tàng hình mới cho phép nó tồn tại trên các thiết bị ngay cả sau khi ứng dụng nhỏ giọt của nó đã bị xóa.
Mục lục
PixPirate sử dụng hai ứng dụng khác nhau để thu thập thông tin ngân hàng từ điện thoại Android của nạn nhân
Các nhà nghiên cứu đã ghi nhận sự khác biệt đáng kể so với chiến lược thông thường mà phần mềm độc hại sử dụng, đặc biệt là với PixPirate. Không giống như phần mềm độc hại thông thường cố gắng che giấu biểu tượng của nó, một chiến thuật có thể áp dụng trên các phiên bản Android lên đến 9, PixPirate thay vào đó không sử dụng hoàn toàn biểu tượng trình khởi chạy. Cách tiếp cận độc đáo này cho phép phần mềm độc hại vẫn ẩn trên các hệ thống Android gần đây, mở rộng đến phiên bản 14. Tuy nhiên, việc thiếu biểu tượng lại đặt ra một thách thức khác: không cung cấp phương tiện nào để nạn nhân kích hoạt phần mềm độc hại. Để khắc phục vấn đề này, PixPirate sử dụng hai ứng dụng riêng biệt hoạt động song song để thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm.
Ứng dụng ban đầu, được gọi là 'trình tải xuống', được lan truyền dưới dạng APK (Tệp gói Android) và được phân phối qua tin nhắn lừa đảo trên các nền tảng như WhatsApp hoặc SMS. Sau khi cài đặt, ứng dụng tải xuống này yêu cầu quyền truy cập vào các quyền có rủi ro cao, bao gồm cả Dịch vụ trợ năng. Sau đó, nó tiến hành tìm nạp và cài đặt ứng dụng thứ hai, được gọi là 'droppee', đây là phần mềm độc hại ngân hàng PixPirate được mã hóa.
Ứng dụng 'droppee' tránh khai báo hoạt động chính với 'android.intent.action.MAIN' và 'android.intent.category.LAUNCHER' trong tệp kê khai, do đó đảm bảo không có biểu tượng trên màn hình chính, hiển thị toàn bộ biểu tượng đó không dễ thấy. Thay vào đó, ứng dụng droppee xuất một dịch vụ mà các ứng dụng khác có thể truy cập. Trình tải xuống thiết lập kết nối với dịch vụ này để bắt đầu khởi chạy phần mềm độc hại PixPirate theo yêu cầu.
Nhiều trình kích hoạt khác nhau có thể bắt đầu thực thi Trojan ngân hàng PixPirate
Ngoài khả năng khởi tạo và kiểm soát phần mềm độc hại của ứng dụng nhỏ giọt, PixPirate cũng có thể được kích hoạt bởi các sự kiện hệ thống khác nhau, chẳng hạn như khởi động thiết bị hoặc thay đổi kết nối mà nó chủ động theo dõi. Điều này cho phép PixPirate hoạt động lén lút trong nền thiết bị của nạn nhân.
Thành phần droppee của PixPirate có dịch vụ có tên 'com.companian.date.sepherd', được xuất và trang bị bộ lọc ý định sử dụng hành động tùy chỉnh 'com.ticket.stage.Service'. Khi người tải xuống có ý định kích hoạt droppee, nó sẽ thiết lập kết nối với dịch vụ này bằng cách sử dụng API 'BindService' cùng với cờ 'BIND_AUTO_CREATE'. Hành động này dẫn đến việc tạo và thực thi dịch vụ droppee.
Sau quá trình tạo và ràng buộc của dịch vụ droppee, APK droppee sẽ được khởi chạy và bắt đầu hoạt động. Tại thời điểm này, ngay cả khi nạn nhân xóa ứng dụng tải xuống khỏi thiết bị, PixPirate vẫn có thể tiếp tục duy trì hoạt động do các sự kiện khác nhau của thiết bị kích hoạt, đồng thời che giấu sự hiện diện của nó với người dùng một cách hiệu quả.
PixPirate nhắm mục tiêu cụ thể vào nền tảng thanh toán Pix
Phần mềm độc hại đặc biệt nhắm mục tiêu vào nền tảng thanh toán tức thời Pix ở Brazil, nhằm mục đích bòn rút tiền cho những kẻ tấn công bằng cách chặn hoặc thực hiện các giao dịch gian lận. Pix đã trở nên phổ biến đáng kể ở Brazil, với hơn 140 triệu người dùng thực hiện các giao dịch trị giá hơn 250 tỷ USD tính đến tháng 3 năm 2023.
PixPirate tận dụng khả năng Trojan truy cập từ xa (RAT) để tự động hóa toàn bộ quy trình gian lận, từ việc lấy thông tin đăng nhập của người dùng và mã xác thực hai yếu tố đến thực hiện chuyển tiền Pix trái phép, tất cả đều diễn ra một cách lén lút mà người dùng không hề hay biết. Tuy nhiên, để đạt được những nhiệm vụ này đòi hỏi phải có được quyền Dịch vụ trợ năng.
Ngoài ra, PixPirate còn kết hợp cơ chế kiểm soát thủ công dự phòng trong những trường hợp phương pháp tự động không thành công, cung cấp cho kẻ tấn công một phương tiện thay thế để thực hiện gian lận trên thiết bị. Các nhà nghiên cứu cũng nhấn mạnh việc phần mềm độc hại sử dụng quảng cáo độc hại thông báo đẩy và khả năng vô hiệu hóa Google Play Protect, một tính năng bảo mật cơ bản của nền tảng Android.
Mặc dù phương pháp lây nhiễm mà PixPirate sử dụng không mang tính đột phá và có thể được giảm thiểu bằng cách hạn chế tải xuống các APK trái phép, nhưng việc áp dụng các chiến lược như không có biểu tượng và đăng ký các dịch vụ liên quan đến các sự kiện hệ thống thể hiện một cách tiếp cận mới và đáng lo ngại.
