PixPirate Android bankacılık truva atının arkasındaki tehdit aktörleri, güvenliği ihlal edilmiş cihazların tespitinden kaçınmak ve Brezilya’daki kullanıcılardan hassas bilgiler toplamak için yeni bir hile kullanıyor.
IBM, bugün yayınlanan teknik raporunda, bu yaklaşımın, kötü amaçlı uygulamanın simgesini kurbanın cihazının ana ekranından gizlemesine olanak tanıdığını söyledi.
Güvenlik araştırmacısı Nir Somech, “Bu yeni teknik sayesinde PixPirate keşif ve saldırı aşamalarında kurban, bu kötü amaçlı yazılımın arka planda gerçekleştirdiği kötü amaçlı işlemlerden habersiz kalıyor.” söz konusu.
İlk olarak Şubat 2023’te Cleafy tarafından belgelenen PixPirate, hedeflenen bir bankacılık uygulaması açıldığında PIX anında ödeme platformunu kullanarak gizlice yetkisiz fon transferleri gerçekleştirmek üzere Android’in erişilebilirlik hizmetlerini kötüye kullanmasıyla tanınıyor.
Sürekli olarak mutasyona uğrayan kötü amaçlı yazılım, kurbanların çevrimiçi bankacılık kimlik bilgilerini ve kredi kartı bilgilerini çalmanın yanı sıra iki faktörlü kimlik doğrulama kodlarına erişmek için tuş vuruşlarını yakalayıp SMS mesajlarına müdahale etme yeteneğine de sahip.
Tipik olarak SMS ve WhatsApp aracılığıyla dağıtılan saldırı akışı, mali dolandırıcılığı gerçekleştirmek için ana yükü (diğer adıyla droppee) dağıtmak üzere tasarlanmış bir dropper (diğer adıyla downloader) uygulamasının kullanılmasını gerektirir.
Somech, “Genellikle indirici, droppee’yi indirmek ve yüklemek için kullanılır ve bu noktadan sonra, droppee tüm dolandırıcılık işlemlerini yürüten ana aktördür ve indirici konuyla ilgisizdir” diye açıkladı.
“PixPirate durumunda, indirici yalnızca droppee’yi indirmek ve kurmaktan değil, aynı zamanda onu çalıştırmak ve yürütmekten de sorumludur. İndirici, droppee’nin birbirleriyle iletişim kurması ve komutları göndermesi nedeniyle kötü niyetli faaliyetlerinde aktif bir rol oynar. uygulamak.”
İndirici APK uygulaması başlatıldığında, kurbandan PixPirate bileşenini aktör kontrollü bir sunucudan alması veya kendi içinde yerleşikse yüklemesi için uygulamayı güncellemesi konusunda uyarıyor.
Droppee’nin en son sürümünde değişen şey, “android.intent.action.Main” eylemi ve “android.intent.category.LAUNCHER” kategorisiyle ilgili etkinliğin olmamasıdır. izin verir Kullanıcının ana ekrandan bir uygulamayı simgesine dokunarak başlatması.
Başka bir deyişle, enfeksiyon zinciri, hem indiricinin hem de indiricinin birlikte çalışmasını gerektirir; eskisi, PixPirate APK’sını bir dosyaya bağlanarak çalıştırmaktan sorumludur. hizmet droppee tarafından ihraç edildi.
Somech, “Daha sonra kalıcılığı korumak için droppee, kaydettiği farklı alıcılar tarafından çalıştırılmak üzere tetikleniyor” dedi. “Alıcılar, sistemde meydana gelen farklı olaylara göre etkinleştirilecek şekilde ayarlandı ve başlangıçta droppee’nin çalışmasını tetikleyen indirici tarafından etkinleştirilmesi gerekmiyor.”
“Bu teknik, kurban PixPirate indiricisini cihazından kaldırsa bile PixPirate droppee’sinin çalışmasına ve varlığını gizlemesine olanak tanıyor.”
Gelişme, Latin Amerika (LATAM) bankalarının yeni bir kötü amaçlı yazılımın hedefi haline gelmesiyle ortaya çıktı. Sahte mesaj Bu, hedeflenen banka sitesine girilen kimlik bilgilerini ele geçirmek amacıyla tarayıcıdaki adam ve web enjeksiyon saldırılarını gerçekleştirmek için SATiD adlı sahte bir Microsoft Edge uzantısını kullanıyor.
Şunu belirtmekte fayda var SAT Kimliği Meksika’nın Vergi İdaresi Hizmeti (SAT) tarafından vergilerin çevrimiçi olarak beyan edilmesi için elektronik imzaların oluşturulması ve güncellenmesi amacıyla sunulan bir hizmettir.
Belirli durumlarda Fakext, kurbanı bankanın BT destek ekibi gibi görünerek meşru bir uzaktan erişim aracı indirmeye teşvik eden ve sonuçta tehdit aktörlerinin mali dolandırıcılık yapmasına olanak tanıyan bir katman görüntüleyecek şekilde tasarlanmıştır.
En az Kasım 2023’ten bu yana aktif olan kampanya, çoğunluğu Meksika’da olmak üzere bölgede faaliyet gösteren 14 bankayı öne çıkarıyor. Uzantı o zamandan beri Edge Eklentileri mağazasından kaldırıldı.