PixPirate 银行木马针对 Android 设备
PixPirate Android 银行木马的运营商采用了一种新颖的策略来逃避对受感染设备的检测并收集巴西用户的敏感数据。根据 IBM 最近的技术报告,这种方法涉及在受害者设备主屏幕上隐藏恶意应用程序的图标。
安全研究员 Nir Somech 解释说,这种方法可确保受害者在侦察和攻击阶段不知道恶意软件在后台执行的恶意活动。
PixPirate 最初由 Cleafy 于 2023 年 2 月发现,因在用户访问目标银行应用程序时利用 Android 的辅助服务通过 PIX 即时支付平台执行未经授权的资金转账而臭名昭著。
这种不断变异的恶意软件还可以窃取网上银行凭证、信用卡详细信息、拦截短信以及捕获用于访问双因素身份验证码的击键。
PixPirate 通过文本和社交应用程序传播
典型的分发方法包括 SMS 和 WhatsApp,其中有一个 Dropper 应用程序有助于部署金融欺诈的主要有效负载。 Somech 澄清说,就 PixPirate 而言,下载程序不仅安装有效负载,还执行有效负载,通过与主要有效负载通信并执行命令,在恶意活动中发挥积极作用。
下载程序会提示用户更新应用程序,从威胁行为者控制的服务器检索 PixPirate 组件,或者如果嵌入到自身中则安装该组件。值得注意的是,最新版本的主要有效负载不再包括通过点击图标从主屏幕启动应用程序的活动。这意味着下载器和主有效负载必须协作,下载器绑定到主有效负载导出的服务以执行 PixPirate APK。