PixPirate Banking Trojan retter seg mot Android-enheter

Operatørene til PixPirate Android-banktrojaneren har tatt i bruk en ny taktikk for å unngå deteksjon på kompromitterte enheter og samle sensitive data fra brukere i Brasil. I følge IBMs ferske tekniske rapport innebærer denne metoden å skjule den skadelige appens ikon på offerets startskjerm.

Sikkerhetsforsker Nir Somech forklarte at denne tilnærmingen sikrer at ofrene forblir uvitende om de ondsinnede aktivitetene utført av skadevaren i bakgrunnen under rekognoserings- og angrepsfaser.

PixPirate, opprinnelig identifisert av Cleafy i februar 2023, er beryktet for å utnytte Androids tilgjengelighetstjenester for å utføre uautoriserte pengeoverføringer gjennom PIX-umiddelbar betalingsplattform når brukere får tilgang til målrettede bankapper.

Denne skadelige programvaren, som stadig muterer, kan også stjele nettbanklegitimasjon, kredittkortdetaljer, fange opp SMS-meldinger og fange opp tastetrykk for å få tilgang til tofaktorautentiseringskoder.

PixPirate sprer seg gjennom tekster og sosiale apper

Den typiske distribusjonsmetoden involverer SMS og WhatsApp, med en dropper-app som letter distribusjonen av hovednyttelasten for økonomisk svindel. Somech presiserte at når det gjelder PixPirate, installerer nedlasteren ikke bare nyttelasten, men utfører den også, og spiller en aktiv rolle i de ondsinnede aktivitetene ved å kommunisere med hovednyttelasten og utføre kommandoer.

Nedlasteren ber brukere om å oppdatere appen, hente PixPirate-komponenten fra en server kontrollert av trusselaktøren eller installere den hvis den er innebygd i seg selv. Spesielt inkluderer den nyeste versjonen av hovednyttelasten ikke lenger aktivitet for å starte appen fra startskjermen ved å trykke på ikonet. Dette betyr at både nedlasteren og hovednyttelasten må samarbeide, med nedlasteren bindende til en tjeneste eksportert av hovednyttelasten for å kjøre PixPirate APK.