PixPirate Banking Trojan er rettet mod Android-enheder

PixPirate Android-banktrojanernes operatører har vedtaget en ny taktik for at undgå registrering på kompromitterede enheder og indsamle følsomme data fra brugere i Brasilien. Ifølge IBMs seneste tekniske rapport involverer denne metode at skjule den ondsindede apps ikon på offerets enheds startskærm.

Sikkerhedsforsker Nir Somech forklarede, at denne tilgang sikrer, at ofre forbliver uvidende om de ondsindede aktiviteter, der udføres af malwaren i baggrunden under rekognoscering og angrebsfaser.

PixPirate, som oprindeligt blev identificeret af Cleafy i februar 2023, er berygtet for at udnytte Androids tilgængelighedstjenester til at udføre uautoriserede pengeoverførsler gennem PIX-instant betalingsplatformen, når brugere får adgang til målrettede bankapps.

Denne malware, som konstant muterer, kan også stjæle onlinebankoplysninger, kreditkortoplysninger, opsnappe SMS-beskeder og fange tastetryk for at få adgang til to-faktor-godkendelseskoder.

PixPirate spreder sig gennem tekster og sociale apps

Den typiske distributionsmetode involverer SMS og WhatsApp, med en dropper-app, der letter implementeringen af den primære nyttelast til økonomisk bedrageri. Somech præciserede, at i tilfælde af PixPirate installerer downloaderen ikke kun nyttelasten, men udfører den også, og spiller en aktiv rolle i de ondsindede aktiviteter ved at kommunikere med den primære nyttelast og udføre kommandoer.

Downloaderen beder brugerne om at opdatere appen, hente PixPirate-komponenten fra en server kontrolleret af trusselsaktøren eller installere den, hvis den er indlejret i sig selv. Især inkluderer den seneste version af hovednyttelasten ikke længere aktivitet til at starte appen fra startskærmen ved at trykke på dens ikon. Dette betyder, at både downloaderen og hovednyttelasten skal samarbejde, hvor downloaderen binder til en tjeneste, der eksporteres af hovednyttelasten for at udføre PixPirate APK.