Trojan bankowy PixPirate atakuje urządzenia z systemem Android
Operatorzy trojana bankowego PixPirate dla systemu Android przyjęli nowatorską taktykę, aby uniknąć wykrycia na zaatakowanych urządzeniach i zebrać wrażliwe dane od użytkowników w Brazylii. Według najnowszego raportu technicznego IBM metoda ta polega na ukryciu ikony złośliwej aplikacji na ekranie głównym urządzenia ofiary.
Badacz bezpieczeństwa Nir Somech wyjaśnił, że takie podejście gwarantuje, że ofiary pozostaną nieświadome szkodliwych działań prowadzonych przez szkodliwe oprogramowanie w tle na etapie rozpoznania i ataku.
PixPirate, zidentyfikowany po raz pierwszy przez Cleafy w lutym 2023 r., jest znany z wykorzystywania usług ułatwień dostępu Androida do wykonywania nieautoryzowanych przelewów środków za pośrednictwem platformy płatności natychmiastowych PIX, gdy użytkownicy uzyskują dostęp do docelowych aplikacji bankowych.
To złośliwe oprogramowanie, które stale mutuje, może również kraść dane uwierzytelniające bankowości internetowej, dane karty kredytowej, przechwytywać wiadomości SMS i przechwytywać naciśnięcia klawiszy w celu uzyskania dostępu do kodów uwierzytelniania dwuskładnikowego.
PixPirate rozprzestrzenia się poprzez SMS-y i aplikacje społecznościowe
Typowa metoda dystrybucji obejmuje wiadomości SMS i WhatsApp z aplikacją dropper ułatwiającą wykorzystanie głównego ładunku do oszustw finansowych. Somech wyjaśnił, że w przypadku PixPirate moduł pobierający nie tylko instaluje ładunek, ale także go wykonuje, odgrywając aktywną rolę w szkodliwych działaniach, komunikując się z głównym ładunkiem i wykonując polecenia.
Narzędzie do pobierania monituje użytkowników o aktualizację aplikacji, pobranie komponentu PixPirate z serwera kontrolowanego przez cyberprzestępcę lub zainstalowanie go, jeśli jest w nim osadzony. Warto zauważyć, że najnowsza wersja głównego ładunku nie zawiera już czynności polegającej na uruchamianiu aplikacji z ekranu głównego poprzez dotknięcie jej ikony. Oznacza to, że zarówno moduł pobierający, jak i główny ładunek muszą współpracować, przy czym moduł pobierania jest powiązany z usługą eksportowaną przez główny ładunek, aby uruchomić plik APK PixPirate.
