Банковский троян PixPirate нацелен на устройства Android
Операторы банковского трояна PixPirate для Android применили новую тактику, позволяющую избежать обнаружения на взломанных устройствах и собрать конфиденциальные данные от пользователей в Бразилии. Согласно недавнему техническому отчету IBM, этот метод предполагает сокрытие значка вредоносного приложения на главном экране устройства жертвы.
Исследователь безопасности Нир Сомех объяснил, что такой подход гарантирует, что жертвы останутся в неведении о вредоносных действиях, осуществляемых вредоносным ПО в фоновом режиме на этапах разведки и атаки.
PixPirate, первоначально идентифицированный Cleafy в феврале 2023 года, известен тем, что использует службы специальных возможностей Android для выполнения несанкционированных переводов средств через платформу мгновенных платежей PIX, когда пользователи получают доступ к целевым банковским приложениям.
Это вредоносное ПО, которое постоянно мутирует, может также похищать учетные данные онлайн-банкинга, данные кредитных карт, перехватывать SMS-сообщения и перехватывать нажатия клавиш для доступа к кодам двухфакторной аутентификации.
PixPirate распространяется через текстовые сообщения и социальные приложения
Типичный метод распространения включает SMS и WhatsApp, а приложение-дроппер облегчает развертывание основной полезной нагрузки для финансового мошенничества. Somech уточнил, что в случае с PixPirate загрузчик не только устанавливает полезную нагрузку, но и выполняет ее, играя активную роль во вредоносных действиях, общаясь с основной полезной нагрузкой и выполняя команды.
Загрузчик предлагает пользователям обновить приложение, получая компонент PixPirate с сервера, контролируемого злоумышленником, или устанавливая его, если он встроен в него самого. Примечательно, что последняя версия основной полезной нагрузки больше не включает в себя действие по запуску приложения с главного экрана путем нажатия на его значок. Это означает, что и загрузчик, и основная полезная нагрузка должны взаимодействовать, причем загрузчик привязывается к сервису, экспортируемому основной полезной нагрузкой, для выполнения PixPirate APK.