Los actores de amenazas detr\u00e1s del troyano bancario PixPirate para Android est\u00e1n aprovechando un nuevo truco para evadir la detecci\u00f3n en dispositivos comprometidos y recopilar informaci\u00f3n confidencial de los usuarios en Brasil.<\/p>\n
El enfoque le permite ocultar el \u00edcono de la aplicaci\u00f3n maliciosa de la pantalla de inicio del dispositivo de la v\u00edctima, dijo IBM en un informe t\u00e9cnico publicado hoy.<\/p>\n
“Gracias a esta nueva t\u00e9cnica, durante las fases de reconocimiento y ataque de PixPirate, la v\u00edctima permanece ajena a las operaciones maliciosas que este malware realiza en segundo plano”, afirma el investigador de seguridad Nir Somech. dicho<\/a>.<\/p>\n PixPirate, que fue documentado por primera vez por Cleafy en febrero de 2023, es conocido por su abuso de los servicios de accesibilidad de Android para realizar de forma encubierta transferencias de fondos no autorizadas utilizando la plataforma de pago instant\u00e1neo PIX cuando se abre una aplicaci\u00f3n bancaria espec\u00edfica.<\/p>\n El malware en constante mutaci\u00f3n tambi\u00e9n es capaz de robar las credenciales bancarias en l\u00ednea y la informaci\u00f3n de las tarjetas de cr\u00e9dito de las v\u00edctimas, as\u00ed como capturar pulsaciones de teclas e interceptar mensajes SMS para acceder a c\u00f3digos de autenticaci\u00f3n de dos factores.<\/p>\n Generalmente distribuido a trav\u00e9s de SMS y WhatsApp, el flujo de ataque implica el uso de una aplicaci\u00f3n de descarga (tambi\u00e9n conocida como descargador) que est\u00e1 dise\u00f1ada para implementar la carga \u00fatil principal (tambi\u00e9n conocida como droppee) para llevar a cabo el fraude financiero.<\/p>\n “Por lo general, el descargador se utiliza para descargar e instalar el droppee y, a partir de este momento, el droppee es el actor principal que lleva a cabo todas las operaciones fraudulentas y el descargador es irrelevante”, explic\u00f3 Somech.<\/p>\n “En el caso de PixPirate, el descargador es responsable no s\u00f3lo de descargar e instalar el droppee sino tambi\u00e9n de ejecutarlo. El descargador desempe\u00f1a un papel activo en las actividades maliciosas del droppee mientras se comunican entre s\u00ed y env\u00edan comandos a ejecutar.”<\/p>\n La aplicaci\u00f3n APK de descarga, una vez iniciada, solicita a la v\u00edctima que actualice la aplicaci\u00f3n para recuperar el componente PixPirate de un servidor controlado por el actor o instalarlo si est\u00e1 integrado en s\u00ed mismo.<\/p>\n Lo que ha cambiado en la \u00faltima versi\u00f3n del droppee es la ausencia de actividad con la acci\u00f3n “android.intent.action.Main” y la categor\u00eda “android.intent.category.LAUNCHER” que permite<\/a> un usuario puede iniciar una aplicaci\u00f3n desde la pantalla de inicio tocando su icono.<\/p>\n Dicho de otra manera, la cadena de infecci\u00f3n requiere que tanto el descargador como el droppee trabajen en conjunto, siendo el primero responsable de ejecutar el APK de PixPirate vincul\u00e1ndolo a un servicio<\/a> exportado por el droppee.<\/p>\n “M\u00e1s tarde, para mantener la persistencia, los diferentes receptores que registr\u00f3 tambi\u00e9n activan el droppee”, dijo Somech. “Los receptores est\u00e1n configurados para activarse en funci\u00f3n de diferentes eventos que ocurren en el sistema y no necesariamente por el descargador que inicialmente activ\u00f3 la ejecuci\u00f3n del droppee”.<\/p>\n “Esta t\u00e9cnica permite que el droppee de PixPirate se ejecute y oculte su existencia incluso si la v\u00edctima elimina el descargador de PixPirate de su dispositivo”.<\/p>\n El desarrollo se produce cuando los bancos latinoamericanos (LATAM) se han convertido en el objetivo de un nuevo malware llamado texto falso<\/a> que emplea una extensi\u00f3n maliciosa de Microsoft Edge llamada SATiD para llevar a cabo ataques de inyecci\u00f3n web y de hombre en el navegador con el objetivo de obtener las credenciales ingresadas en el sitio bancario objetivo.<\/p>\n Vale la pena se\u00f1alar que IDENTIFICACI\u00d3N SAT<\/a> es un servicio ofrecido por el Servicio de Administraci\u00f3n Tributaria (SAT) de M\u00e9xico para generar y actualizar firmas electr\u00f3nicas para la presentaci\u00f3n de impuestos en l\u00ednea.<\/p>\n En casos selectos, Fakext est\u00e1 dise\u00f1ado para mostrar una superposici\u00f3n que insta a la v\u00edctima a descargar una herramienta leg\u00edtima de acceso remoto haci\u00e9ndose pasar por el equipo de soporte de TI del banco, lo que en \u00faltima instancia permite a los actores de la amenaza realizar fraude financiero.<\/p>\n La campa\u00f1a, activa desde al menos noviembre de 2023, destaca a 14 bancos que operan en la regi\u00f3n, la mayor\u00eda de los cuales est\u00e1n ubicados en M\u00e9xico. Desde entonces, la extensi\u00f3n ha sido eliminada de la tienda de complementos de Edge.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/El-troyano-bancario-PixPirate-para-Android-utiliza-una-nueva-tactica.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n