Το PixPirate Banking Trojan στοχεύει συσκευές Android
Οι χειριστές του PixPirate Android banking trojan έχουν υιοθετήσει μια νέα τακτική για να αποφύγουν τον εντοπισμό σε παραβιασμένες συσκευές και να συλλέξουν ευαίσθητα δεδομένα από χρήστες στη Βραζιλία. Σύμφωνα με την πρόσφατη τεχνική αναφορά της IBM, αυτή η μέθοδος περιλαμβάνει την απόκρυψη του εικονιδίου της κακόβουλης εφαρμογής στην αρχική οθόνη της συσκευής του θύματος.
Ο ερευνητής ασφάλειας Nir Somech εξήγησε ότι αυτή η προσέγγιση διασφαλίζει ότι τα θύματα δεν γνωρίζουν τις κακόβουλες δραστηριότητες που πραγματοποιούνται από το κακόβουλο λογισμικό στο παρασκήνιο κατά τη διάρκεια των φάσεων αναγνώρισης και επίθεσης.
Το PixPirate, που αρχικά αναγνωρίστηκε από τον Cleafy τον Φεβρουάριο του 2023, είναι διαβόητο για την εκμετάλλευση των υπηρεσιών προσβασιμότητας του Android για την εκτέλεση μη εξουσιοδοτημένων μεταφορών χρημάτων μέσω της πλατφόρμας άμεσων πληρωμών PIX όταν οι χρήστες έχουν πρόσβαση σε στοχευμένες τραπεζικές εφαρμογές.
Αυτό το κακόβουλο λογισμικό, το οποίο μεταλλάσσεται συνεχώς, μπορεί επίσης να κλέβει διαπιστευτήρια ηλεκτρονικής τραπεζικής, στοιχεία πιστωτικών καρτών, υποκλοπή μηνυμάτων SMS και λήψη πλήκτρων για πρόσβαση σε κωδικούς ελέγχου ταυτότητας δύο παραγόντων.
Το PixPirate διαδίδεται μέσω κειμένων και εφαρμογών κοινωνικής δικτύωσης
Η τυπική μέθοδος διανομής περιλαμβάνει SMS και WhatsApp, με μια εφαρμογή dropper που διευκολύνει την ανάπτυξη του κύριου ωφέλιμου φορτίου για οικονομική απάτη. Ο Somech διευκρίνισε ότι στην περίπτωση του PixPirate, ο downloader όχι μόνο εγκαθιστά το ωφέλιμο φορτίο αλλά και το εκτελεί, παίζοντας ενεργό ρόλο στις κακόβουλες δραστηριότητες επικοινωνώντας με το κύριο ωφέλιμο φορτίο και εκτελώντας εντολές.
Το πρόγραμμα λήψης προτρέπει τους χρήστες να ενημερώσουν την εφαρμογή, ανακτώντας το στοιχείο PixPirate από έναν διακομιστή που ελέγχεται από τον παράγοντα απειλής ή εγκαθιστώντας το εάν είναι ενσωματωμένο στο ίδιο. Συγκεκριμένα, η τελευταία έκδοση του κύριου ωφέλιμου φορτίου δεν περιλαμβάνει πλέον δραστηριότητα για την εκκίνηση της εφαρμογής από την αρχική οθόνη πατώντας το εικονίδιό της. Αυτό σημαίνει ότι τόσο το πρόγραμμα λήψης όσο και το κύριο ωφέλιμο φορτίο πρέπει να συνεργάζονται, με το πρόγραμμα λήψης να συνδέεται με μια υπηρεσία που εξάγεται από το κύριο ωφέλιμο φορτίο για την εκτέλεση του PixPirate APK.
