Los actores de amenazas detrás del troyano bancario PixPirate para Android están aprovechando un nuevo truco para evadir la detección en dispositivos comprometidos y recopilar información confidencial de los usuarios en Brasil.
El enfoque le permite ocultar el ícono de la aplicación maliciosa de la pantalla de inicio del dispositivo de la víctima, dijo IBM en un informe técnico publicado hoy.
«Gracias a esta nueva técnica, durante las fases de reconocimiento y ataque de PixPirate, la víctima permanece ajena a las operaciones maliciosas que este malware realiza en segundo plano», afirma el investigador de seguridad Nir Somech. dicho.
PixPirate, que fue documentado por primera vez por Cleafy en febrero de 2023, es conocido por su abuso de los servicios de accesibilidad de Android para realizar de forma encubierta transferencias de fondos no autorizadas utilizando la plataforma de pago instantáneo PIX cuando se abre una aplicación bancaria específica.
El malware en constante mutación también es capaz de robar las credenciales bancarias en línea y la información de las tarjetas de crédito de las víctimas, así como capturar pulsaciones de teclas e interceptar mensajes SMS para acceder a códigos de autenticación de dos factores.
Generalmente distribuido a través de SMS y WhatsApp, el flujo de ataque implica el uso de una aplicación de descarga (también conocida como descargador) que está diseñada para implementar la carga útil principal (también conocida como droppee) para llevar a cabo el fraude financiero.
«Por lo general, el descargador se utiliza para descargar e instalar el droppee y, a partir de este momento, el droppee es el actor principal que lleva a cabo todas las operaciones fraudulentas y el descargador es irrelevante», explicó Somech.
«En el caso de PixPirate, el descargador es responsable no sólo de descargar e instalar el droppee sino también de ejecutarlo. El descargador desempeña un papel activo en las actividades maliciosas del droppee mientras se comunican entre sí y envían comandos a ejecutar.»
La aplicación APK de descarga, una vez iniciada, solicita a la víctima que actualice la aplicación para recuperar el componente PixPirate de un servidor controlado por el actor o instalarlo si está integrado en sí mismo.
Lo que ha cambiado en la última versión del droppee es la ausencia de actividad con la acción «android.intent.action.Main» y la categoría «android.intent.category.LAUNCHER» que permite un usuario puede iniciar una aplicación desde la pantalla de inicio tocando su icono.
Dicho de otra manera, la cadena de infección requiere que tanto el descargador como el droppee trabajen en conjunto, siendo el primero responsable de ejecutar el APK de PixPirate vinculándolo a un servicio exportado por el droppee.
«Más tarde, para mantener la persistencia, los diferentes receptores que registró también activan el droppee», dijo Somech. «Los receptores están configurados para activarse en función de diferentes eventos que ocurren en el sistema y no necesariamente por el descargador que inicialmente activó la ejecución del droppee».
«Esta técnica permite que el droppee de PixPirate se ejecute y oculte su existencia incluso si la víctima elimina el descargador de PixPirate de su dispositivo».
El desarrollo se produce cuando los bancos latinoamericanos (LATAM) se han convertido en el objetivo de un nuevo malware llamado texto falso que emplea una extensión maliciosa de Microsoft Edge llamada SATiD para llevar a cabo ataques de inyección web y de hombre en el navegador con el objetivo de obtener las credenciales ingresadas en el sitio bancario objetivo.
Vale la pena señalar que IDENTIFICACIÓN SAT es un servicio ofrecido por el Servicio de Administración Tributaria (SAT) de México para generar y actualizar firmas electrónicas para la presentación de impuestos en línea.
En casos selectos, Fakext está diseñado para mostrar una superposición que insta a la víctima a descargar una herramienta legítima de acceso remoto haciéndose pasar por el equipo de soporte de TI del banco, lo que en última instancia permite a los actores de la amenaza realizar fraude financiero.
La campaña, activa desde al menos noviembre de 2023, destaca a 14 bancos que operan en la región, la mayoría de los cuales están ubicados en México. Desde entonces, la extensión ha sido eliminada de la tienda de complementos de Edge.