PixPirate 銀行木馬

2024 年 2 月，網路安全研究人員發現了一種以前未知的 Android 惡意軟體的存在，該惡意軟體被追蹤為 PixPirate。這種威脅已被用於針對拉丁美洲銀行的針對性攻擊。目前，專家警告說，PixPirate 銀行木馬的更新版本已經浮出水面，它採用了一種新的隱形技術，即使在刪除程式應用程式被刪除後，它也能在裝置上持續存在。

PixPirate 使用兩種不同的應用程式從受害者的 Android 手機收集銀行信息

研究人員注意到惡意軟體（尤其是 PixPirate）所採用的傳統策略有重大背離。與典型的惡意軟體試圖隱藏其圖示（Android 9 以上版本可能採用的策略）不同，PixPirate 並未完全使用啟動器圖示。這種獨特的方法使惡意軟體能夠在最新的 Android 系統上保持隱藏狀態，一直延伸到版本 14。然而，圖示的缺失帶來了另一個挑戰：受害者無法啟動惡意軟體。為了規避這個問題，PixPirate 使用兩個不同的應用程式協同工作，從受感染的裝置中取得敏感資料。

最初的應用程式被稱為“下載器”，以 APK（Android 套件檔案）形式傳播，並透過 WhatsApp 或 SMS 等平台上的網路釣魚訊息進行分發。安裝後，此下載器應用程式會要求存取高風險權限，包括輔助功能服務。隨後，它繼續獲取並安裝第二個應用程序，稱為“droppee”，這是加密的 PixPirate 銀行惡意軟體。

「droppee」應用程式避免在其清單中聲明帶有「android.intent.action.MAIN」和「android.intent.category.LAUNCHER」的主要活動，從而確保主螢幕上沒有圖標，從而完全呈現它不顯眼的。相反，droppee 應用程式會導出其他應用程式可以存取的服務。下載程式會建立與此服務的連接，以根據需要啟動 PixPirate 惡意軟體的啟動。

各種觸發器可以啟動 PixPirate 銀行木馬的執行

除了植入程式應用程式啟動和控制惡意軟體的能力之外，PixPirate 還可以由各種系統事件觸發，例如它主動監控的裝置啟動或連線變更。這使得 PixPirate 能夠在受害者設備的後台秘密運作。

PixPirate 的 droppee 元件具有名為「com.companian.date.sepherd」的服務，該服務已匯出並配備了利用自訂操作「com.ticket.stage.Service」的意圖過濾器。當下載程式打算啟動 droppee 時，它會利用「BindService」API 以及「BIND_AUTO_CREATE」標誌與該服務建立連線。此操作將導致 droppee 服務的建立和執行。

在 droppee 服務的建立和綁定過程之後，droppee APK 將啟動並開始運作。此時，即使受害者從裝置中刪除下載器應用程序，PixPirate 也可以繼續維持其由各種裝置事件觸發的操作，同時有效地向用戶隱藏其存在。

PixPirate專門針對Pix支付平台

該惡意軟體專門針對巴西的 Pix 即時支付平台，旨在透過攔截或發動詐欺交易來向攻擊者竊取資金。 Pix 在巴西非常受歡迎，截至 2023 年 3 月，超過 1.4 億用戶的交易額超過 2,500 億美元。

PixPirate 利用遠端存取木馬 (RAT) 功能來自動化整個詐騙流程，從擷取使用者憑證和兩因素身分驗證程式碼到執行未經授權的 Pix 資金轉賬，所有這些都是在使用者不知情的情況下進行的。但是，完成這些任務需要取得輔助功能服務權限。

此外，PixPirate 也針對自動化方法失敗的情況採用了後備手動控制機制，為攻擊者提供了實施裝置詐欺的替代方法。研究人員還強調了該惡意軟體對推播通知惡意廣告的利用及其禁用 Google Play Protect（Android 平台的一項基本安全功能）的能力。

雖然PixPirate 採用的感染方法並不是開創性的，並且可以透過避免下載未經授權的APK 來緩解，但其採用的策略（例如不使用圖標和註冊與系統事件綁定的服務）代表了一種令人擔憂且新穎的方法。