Il trojan bancario PixPirate prende di mira i dispositivi Android
Gli operatori del trojan bancario Android PixPirate hanno adottato una nuova tattica per eludere il rilevamento sui dispositivi compromessi e raccogliere dati sensibili dagli utenti in Brasile. Secondo il recente rapporto tecnico di IBM, questo metodo prevede di nascondere l'icona dell'app dannosa sulla schermata iniziale del dispositivo della vittima.
Il ricercatore di sicurezza Nir Somech ha spiegato che questo approccio garantisce che le vittime rimangano all'oscuro delle attività dannose svolte dal malware in background durante le fasi di ricognizione e attacco.
PixPirate, inizialmente identificato da Cleafy nel febbraio 2023, è noto per sfruttare i servizi di accessibilità di Android per eseguire trasferimenti di fondi non autorizzati attraverso la piattaforma di pagamento istantaneo PIX quando gli utenti accedono ad app bancarie mirate.
Questo malware, che muta costantemente, può anche rubare credenziali bancarie online, dettagli di carte di credito, intercettare messaggi SMS e catturare sequenze di tasti per accedere a codici di autenticazione a due fattori.
PixPirate si diffonde attraverso SMS e app social
Il metodo di distribuzione tipico prevede SMS e WhatsApp, con un'app dropper che facilita l'implementazione del carico utile principale per le frodi finanziarie. Somech ha chiarito che nel caso di PixPirate, il downloader non solo installa il payload ma lo esegue anche, svolgendo un ruolo attivo nelle attività dannose comunicando con il payload principale ed eseguendo comandi.
Il downloader richiede agli utenti di aggiornare l'app, recuperando il componente PixPirate da un server controllato dall'autore della minaccia o installandolo se incorporato al suo interno. In particolare, l'ultima versione del payload principale non include più l'attività per avviare l'app dalla schermata principale toccando la sua icona. Ciò significa che sia il downloader che il payload principale devono collaborare, con il downloader che si lega a un servizio esportato dal payload principale per eseguire l'APK PixPirate.