PixPirate Banking Trojan riktar sig till Android-enheter

PixPirate Android-banktrojanens operatörer har antagit en ny taktik för att undvika upptäckt på komprometterade enheter och samla in känslig data från användare i Brasilien. Enligt IBMs senaste tekniska rapport innebär denna metod att dölja den skadliga appens ikon på offrets enhets startskärm.

Säkerhetsforskaren Nir Somech förklarade att detta tillvägagångssätt säkerställer att offer förblir omedvetna om de skadliga aktiviteter som utförs av skadlig programvara i bakgrunden under spanings- och attackfaser.

PixPirate, som ursprungligen identifierades av Cleafy i februari 2023, är ökänt för att utnyttja Androids tillgänglighetstjänster för att utföra obehöriga överföringar via PIX-plattformen för omedelbar betalning när användare kommer åt riktade bankappar.

Denna skadliga programvara, som ständigt muterar, kan också stjäla inloggningsuppgifter för onlinebanker, kreditkortsuppgifter, fånga upp SMS-meddelanden och fånga tangenttryckningar för att komma åt tvåfaktorsautentiseringskoder.

PixPirate sprider sig genom texter och sociala appar

Den typiska distributionsmetoden involverar SMS och WhatsApp, med en droppapp som underlättar distributionen av den huvudsakliga nyttolasten för ekonomiskt bedrägeri. Somech förtydligade att i fallet med PixPirate installerar nedladdaren inte bara nyttolasten utan också kör den, och spelar en aktiv roll i de skadliga aktiviteterna genom att kommunicera med huvudnyttolasten och utföra kommandon.

Nedladdningsprogrammet uppmanar användare att uppdatera appen, hämta PixPirate-komponenten från en server som kontrolleras av hotaktören eller installera den om den är inbäddad i sig själv. Den senaste versionen av huvudnyttolasten inkluderar inte längre aktivitet för att starta appen från startskärmen genom att trycka på dess ikon. Detta innebär att både nedladdaren och huvudnyttolasten måste samarbeta, med nedladdaren bindande till en tjänst som exporteras av huvudnyttolasten för att exekvera PixPirate APK.