PixPirate バンキング型トロイの木馬は Android デバイスを標的にする

PixPirate Android バンキング トロイの木馬のオペレーターは、侵害されたデバイスでの検出を回避し、ブラジルのユーザーから機密データを収集するための新しい戦術を採用しました。 IBM の最近の技術レポートによると、この方法には、被害者のデバイスのホーム画面に悪意のあるアプリのアイコンが隠蔽されています。

セキュリティ研究者のニル・ソメック氏は、このアプローチにより、被害者は偵察や攻撃の段階でバックグラウンドでマルウェアによって実行される悪意のある活動に気付かないようにすることができると説明しました。

2023 年 2 月に Clafy によって最初に特定された PixPirate は、ユーザーが標的のバンキング アプリにアクセスしたときに、Android のアクセシビリティ サービスを悪用し、PIX インスタント ペイメント プラットフォームを通じて不正な資金移動を実行することで悪名高いです。

このマルウェアは常に変異しており、オンライン バンキングの認証情報やクレジット カードの詳細を盗み出し、SMS メッセージを傍受し、2 要素認証コードにアクセスするためのキーストロークをキャプチャすることもできます。

PixPirate はテキストやソーシャル アプリを通じて拡散

一般的な配布方法には、SMS と WhatsApp が含まれ、ドロッパー アプリによって金融詐欺のメイン ペイロードの展開が容易になります。 Somech 氏は、PixPirate の場合、ダウンローダーはペイロードをインストールするだけでなく実行し、メイン ペイロードと通信してコマンドを実行することで悪意のある活動に積極的な役割を果たしていると明らかにしました。

ダウンローダーは、ユーザーにアプリの更新を促し、脅威アクターが制御するサーバーから PixPirate コンポーネントを取得するか、コンポーネント自体に埋め込まれている場合はインストールします。特に、メイン ペイロードの最新バージョンには、アイコンをタップしてホーム画面からアプリを起動するアクティビティが含まれなくなりました。これは、ダウンローダーとメイン ペイロードの両方が連携し、PixPirate APK を実行するためにメイン ペイロードによってエクスポートされたサービスにダウンローダーがバインドされる必要があることを意味します。