Банковский троян PixPirate
В феврале 2024 года исследователи кибербезопасности выявили существование ранее неизвестного вредоносного ПО для Android, отслеживаемого как PixPirate. Эта угроза была реализована в ходе целенаправленных атак на банки в Латинской Америке. В настоящее время эксперты предупреждают, что появилась обновленная версия банковского трояна PixPirate, отличающаяся новой технологией скрытности, позволяющей ему сохраняться на устройствах даже после удаления его приложения-дроппера.
Оглавление
PixPirate использует два разных приложения для сбора банковской информации с телефонов Android жертв
Исследователи отметили значительное отклонение от традиционной стратегии, используемой вредоносными программами, особенно PixPirate. В отличие от типичного вредоносного ПО, которое пытается скрыть свой значок (такая тактика возможна в версиях Android до 9), PixPirate вместо этого вообще не использует значок запуска. Этот уникальный подход позволяет вредоносному ПО оставаться скрытым на новейших системах Android, вплоть до версии 14. Однако отсутствие значка представляет собой еще одну проблему: у жертв нет средств для запуска вредоносного ПО. Чтобы обойти эту проблему, PixPirate использует два разных приложения, которые работают совместно и собирают конфиденциальные данные с зараженных устройств.
Первоначальное приложение, называемое «загрузчиком», распространяется в виде APK (файлов пакетов Android) и распространяется через фишинговые сообщения на таких платформах, как WhatsApp или SMS. После установки это приложение-загрузчик запрашивает доступ к разрешениям высокого риска, включая службы специальных возможностей. Затем он приступает к загрузке и установке второго приложения, получившего название «droppee», которое представляет собой зашифрованное банковское вредоносное ПО PixPirate.
Приложение «droppee» воздерживается от объявления основного действия с «android.intent.action.MAIN» и «android.intent.category.LAUNCHER» в своем манифесте, тем самым обеспечивая отсутствие значка на главном экране и отображая его полностью. незаметный. Вместо этого приложение-дроппи экспортирует службу, к которой могут получить доступ другие приложения. Загрузчик устанавливает соединение с этим сервисом, чтобы инициировать запуск вредоносного ПО PixPirate по мере необходимости.
Различные триггеры могут запустить выполнение банковского трояна PixPirate
В дополнение к способности приложения-дроппера инициировать и контролировать вредоносное ПО, PixPirate также может запускаться различными системными событиями, такими как загрузка устройства или изменения в подключении, которые он активно отслеживает. Это позволяет PixPirate действовать незаметно в фоновом режиме устройства жертвы.
Компонент Droppee PixPirate включает службу под названием «com.companian.date.sepherd», которая экспортируется и оснащена фильтром намерений, использующим настраиваемое действие «com.ticket.stage.Service». Когда загрузчик намеревается активировать дроппи, он устанавливает соединение с этой службой, используя API BindService вместе с флагом BIND_AUTO_CREATE. Результатом этого действия является создание и выполнение службы droppee.
После процесса создания и привязки службы droppee APK-файл droppee запускается и начинает свою работу. На этом этапе, даже если жертва удалит приложение-загрузчик с устройства, PixPirate может продолжать поддерживать его работу, вызванную различными событиями устройства, эффективно скрывая при этом свое присутствие от пользователя.
PixPirate нацелен конкретно на платежную платформу Pix
Вредоносное ПО специально нацелено на платформу мгновенных платежей Pix в Бразилии, стремясь перекачать средства злоумышленникам путем перехвата или инициирования мошеннических транзакций. Pix приобрел значительную популярность в Бразилии: по состоянию на март 2023 года более 140 миллионов пользователей совершили транзакции на сумму, превышающую 250 миллиардов долларов.
PixPirate использует возможности трояна удаленного доступа (RAT) для автоматизации всего мошеннического процесса: от захвата учетных данных пользователя и кодов двухфакторной аутентификации до выполнения несанкционированных денежных переводов Pix, и все это незаметно, без ведома пользователя. Однако для решения этих задач требуется получение разрешений службы специальных возможностей.
Кроме того, PixPirate включает резервный механизм ручного управления на случай сбоя автоматизированных методов, предоставляя злоумышленникам альтернативные средства для мошенничества на устройстве. Исследователи также подчеркивают, что вредоносное ПО использует вредоносную рекламу push-уведомлений и его способность отключать Google Play Protect, фундаментальную функцию безопасности платформы Android.
Хотя метод заражения, используемый PixPirate, не является новаторским и его можно смягчить, воздерживаясь от загрузки неавторизованных APK-файлов, использование таких стратегий, как отсутствие значка и регистрация служб, привязанных к системным событиям, представляет собой тревожный и новый подход.
